APT29 olarak bilinen Rusya bağlantılı tehdit aktörü, Ekim ve Kasım 2021’de düzenlenen bir dizi hedef odaklı kimlik avı kampanyasının bir parçası olarak Avrupa diplomatik misyonlarını ve Dışişleri Bakanlıklarını hedef aldı.
ESET’e göre T3 2021 Tehdit Raporu The Hacker News ile paylaşılan, izinsiz girişler, güvenliği ihlal edilmiş sistemlerde Cobalt Strike Beacon’ın konuşlandırılmasının yolunu açtı ve ardından aynı ağdaki ana bilgisayarlar ve diğer makineler hakkında bilgi toplamak için ek kötü amaçlı yazılımları bırakmak için dayanağından yararlandı.
The Dukes, Cozy Bear ve Nobelium adları altında da izlenen gelişmiş kalıcı tehdit grubu, yaygın ilgi görmeden önce Avrupa ve ABD’yi hedef alan saldırılarıyla on yıldan fazla bir süredir aktif olan kötü bir siber casusluk grubudur. 2020’de ABD devlet kurumları da dahil olmak üzere birçok alt kuruluşta daha fazla enfeksiyona yol açan SolarWinds’in tedarik zinciri uzlaşması için.
Hedefe yönelik kimlik avı saldırıları, İran Dışişleri Bakanlığı’nın kimliğine bürünen ve açıldığında alıcılardan bir ISO disk görüntü dosyası gibi görünen bir dosyayı açmasını veya kaydetmesini isteyen bir HTML eki içeren COVID-19 temalı bir kimlik avı e-postasıyla başladı (” Covid.iso”).
Kurban dosyayı açmayı veya indirmeyi seçerse, “küçük bir JavaScript parçası, doğrudan HTML ekine gömülü olan ISO dosyasının kodunu çözer.” Disk görüntü dosyası, sırayla, kullanılarak yürütülen bir HTML uygulaması içerir. mshta.exe En sonunda Cobalt Strike Beacon’ı virüslü sisteme yükleyen bir PowerShell kodu parçası çalıştırmak için.
ESET ayrıca APT29’un HTML ve ISO disk görüntülerine (veya VHDX dosyalarına) güvenmesini, özellikle Web’in İşareti’nden (Mark of the Web) kaçınmak için düzenlenmiş bir kaçınma tekniği olarak nitelendirdi.MOTW) korumalar, bir dosyanın kaynağını belirlemek için Microsoft tarafından sunulan bir güvenlik özelliğidir.
Araştırmacılar, “Bir ISO disk görüntüsü, sözde Web İşaretini disk görüntüsünün içindeki dosyalara yaymaz” dedi. “Dolayısıyla ve ISO internetten indirilmiş olsa bile, STD açıldığında kurbana herhangi bir uyarı gösterilmeyecek.”
İlk erişimi başarıyla elde ettikten sonra, tehdit aktörü, hedefin Active Directory’sini sorgulamak için çeşitli kullanıma hazır araçlar sağladı (Reklam Bul), komutları SMB protokolünü kullanarak uzak bir makinede yürütün (Sharp-SMBExec), keşif yapmak (SharpView) ve hatta bir Windows ayrıcalık yükseltme kusuru (CVE-2021-36934) takip saldırıları gerçekleştirmek için.
Araştırmacılar, “Son aylar, Dukes’in özellikle diplomatik sektörde batılı kuruluşlar için ciddi bir tehdit olduğunu gösterdi” dedi. “Çok ısrarlılar, iyi bir operasyonel güvenlikleri var ve ikna edici kimlik avı mesajlarının nasıl oluşturulacağını biliyorlar.”
