Perşembe günü Cloudflare, Rusya bağlantılı bir tehdit aktörünün düzenlediği bir ay süren kimlik avı kampanyasını engellemek için adımlar attığını söyledi. Uçan Yeti Ukrayna’yı hedef alıyor
Cloudflare’in tehdit istihbarat ekibi Cloudforce One, “FlyingYeti kampanyası, hedefleri borç temalı yemler yoluyla kötü amaçlı dosyaları açmaya teşvik ederek konut ve kamu hizmetlerine erişim potansiyelinin kaybedilmesi konusundaki endişeden yararlandı.” söz konusu bugün yayınlanan yeni bir raporda.
“Dosyalar açılırsa, COOKBOX olarak bilinen PowerShell kötü amaçlı yazılımının bulaşmasına neden olacak ve FlyingYeti’nin ek yüklerin kurulumu ve kurbanın sistemi üzerinde kontrol gibi takip hedeflerini desteklemesine olanak tanıyacak.”
FlyingYeti, web altyapı şirketi tarafından Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA) UAC-0149 adı altında takip ettiği bir etkinlik kümesini izlemek için kullanılan isimdir.
Siber güvenlik kurumu tarafından açıklanan önceki saldırılar, Signal anlık mesajlaşma uygulaması aracılığıyla gönderilen kötü amaçlı eklerin kullanımını içeriyordu. PİŞİRME KUTUSUcmdlet’leri yükleyip çalıştırabilen PowerShell tabanlı bir kötü amaçlı yazılım.
Cloudforce One tarafından Nisan 2024 ortasında tespit edilen en son saldırı, Cloudflare Workers ve GitHub’un yanı sıra CVE-2023-38831 olarak takip edilen WinRAR güvenlik açığından yararlanmayı içeriyor.
Şirket, tehdit aktörünün öncelikle Ukrayna askeri birimlerini hedeflemeye odaklandığını belirterek, altyapıları için dinamik DNS (DDNS) kullandığını ve kötü amaçlı içerikleri düzenlemek ve komuta ve kontrol (C2) amacıyla bulut tabanlı platformlardan yararlandığını ekledi.
E-posta mesajlarının, alıcıları artık kaldırılmış bir GitHub sayfasına (komunalka.github) tıklamaya ikna etmek için borç yeniden yapılandırması ve ödemeyle ilgili tuzaklar kullandığı gözlemlendi.[.]io)’nun kimliğine bürünen Kiev Komunalka web sitesi ve onlara bir Microsoft Word dosyası (“Рахунок.docx”) indirmeleri talimatını verir.
Ancak gerçekte, sayfadaki indirme düğmesine tıklamak, bir RAR arşiv dosyasının (“Заборгованість по ЖКП.rar”) alınmasıyla sonuçlanır, ancak bu yalnızca bir Cloudflare Çalışanına gönderilen HTTP isteği değerlendirildikten sonra gerçekleşir. RAR dosyası başlatıldığında, COOKBOX kötü amaçlı yazılımını yürütmek için CVE-2023-38831’i silah haline getiriyor.
“Kötü amaçlı yazılım, bir ana bilgisayarda varlığını sürdürecek ve virüslü cihazda dayanak görevi görecek şekilde tasarlandı. COOKBOX’un bu çeşidi yüklendikten sonra DDNS etki alanı postdock’una istekte bulunacak[.]Serveftp[.]Cloudflare, “C2 için com.tr, kötü amaçlı yazılımın daha sonra çalıştırılacağı PowerShell cmdlet’lerini bekliyor” dedi.
Geliştirme CERT-UA olarak geliyor uyardı UAC-0006 olarak bilinen, finansal motivasyona sahip bir grubun, SmokeLoader kötü amaçlı yazılımını ortadan kaldırmak üzere tasarlanmış ve daha sonra TALESHOT gibi ek kötü amaçlı yazılımları dağıtmak için kullanılan kimlik avı saldırılarında ani bir artış.
Kimlik avı kampanyaları, MSI yükleyicisini popüler Mayın Tarlası oyununun truva atı haline getirilmiş bir sürümü içine paketleyerek SuperOps adı verilen meşru bir Uzaktan İzleme ve Yönetim (RMM) yazılımı sunma konusunda gözünü Avrupalı ve ABD’li finans kuruluşlarına dikti.
CERT-UA, “Bu programın bir bilgisayarda çalıştırılması, bilgisayara üçüncü tarafların yetkisiz uzaktan erişimini sağlayacaktır.” söz konusubunu UAC-0188 adlı bir tehdit aktörüne atfederek.
Açıklama aynı zamanda Flashpoint’in Rus ileri kalıcı tehdit (APT) gruplarının eşzamanlı olarak gelişip taktiklerini iyileştirdiğini ve hedeflemelerini genişlettiğini ortaya koyan bir raporun ardından geldi.
Şirket, “Yasadışı pazarlarda satılan kötü amaçlı yazılımları dağıtarak veri ve kimlik bilgilerine sızmak için yeni hedef odaklı kimlik avı kampanyaları kullanıyorlar” dedi. söz konusu geçen hafta. “Bu hedef odaklı kimlik avı kampanyalarında kullanılan en yaygın kötü amaçlı yazılım aileleri Agent Tesla, Remcos, SmokeLoader, Snake Keylogger ve GuLoader’dı.”
