Rusya bağlantılı Gamaredon hack grubu, iki ülke arasında devam eden jeopolitik gerilimlerin ortasında geçen ay Ukrayna’da faaliyet gösteren isimsiz bir Batılı hükümet kuruluşunu tehlikeye atmaya çalıştı.
Palo Alto Networks’ün 42. Birim tehdit istihbarat ekibi, yeni rapor 3 Şubat’ta yayınlanan, kimlik avı saldırısının 19 Ocak’ta gerçekleştiğini ve “farklı kimlik avı ve kötü amaçlı yazılım amaçlarını desteklemek için kullanılan altyapılarının üç büyük kümesinin haritasını çıkardığını” söyledi.
Shuckworm, Armageddon veya Primitive Bear olarak da bilinen tehdit aktörü, tarihsel olarak 2013’ten bu yana Ukrayna hükümet yetkililerine ve kuruluşlarına yönelik saldırgan siber saldırılarına odaklandı. Geçen yıl, Ukrayna, kolektifin Rusya Federal Güvenlik Servisi (FSB) ile olan bağlarını açıkladı.
Kimlik avı saldırısını gerçekleştirmek için, kampanyanın arkasındaki operatörler, hedeflenen varlıkla ilgili aktif bir iş listesi için kötü amaçlı yazılım indiricilerini bir özgeçmiş biçiminde yüklemek için bir kanal olarak ülke içindeki bir iş arama ve istihdam platformundan yararlandı.
Araştırmacılar, “Bu kampanyada yer alan adımlar ve hassas teslimat göz önüne alındığında, bunun Gamaredon’un bu Batılı hükümet örgütünü tehlikeye atmak için özel ve kasıtlı bir girişimi olabileceği anlaşılıyor” dedi.
Ayrıca Unit 42, 1 Aralık 2021’de Ukrayna Devlet Göç Servisi’ni (SMS) hedef alan ve açık kaynağı yüklemek için bir Word belgesini yem olarak kullanan bir Gamaredon kampanyasının kanıtlarını ortaya çıkardı. UltraVNC virüslü bilgisayarlara uzaktan erişimi sürdürmek için sanal ağ bilgi işlem (VNC) yazılımı.
Araştırmacılar, “Gamaredon oyuncuları, altyapılarını inşa etmek ve sürdürmek söz konusu olduğunda ilginç bir yaklaşım izliyorlar” dedi. “Çoğu aktör, kendilerini olası herhangi bir ilişkilendirmeden uzaklaştırmak için bir siber kampanyada kullandıktan sonra alan adlarını atmayı tercih ediyor. Ancak, Gamaredon’un yaklaşımı, alanlarını sürekli olarak yeni altyapılar arasında döndürerek geri dönüştürüyor gibi görünmesi bakımından benzersizdir.”
Birlikte ele alındığında, saldırı altyapısı en az 700 sahte etki alanı, 215 IP adresi ve 100’den fazla kötü amaçlı yazılım örneğini kapsar ve kümeler, açıldığında kötü amaçlı kod yürütmek üzere tasarlanmış ve komut-ve- olarak hizmet eden silahlı belgeleri barındırmak için kullanılır. onun için kontrol sunucuları Pterodo (aka Pteranodon) uzaktan erişim truva atı.
Bulgular, Broadcom’un sahibi olduğu Symantec’in, Temmuz ve Ağustos 2021 arasında aynı grup tarafından, sömürü sonrası faaliyetler için Pterodo RAT’ı dağıtmak üzere kimliği belirsiz bir Ukraynalı örgütü hedef alan başka bir saldırının ayrıntılarını açıklamasından bir haftadan kısa bir süre sonra geldi.
