Rusya ve Moldova’daki şirketler, az bilinen bir siber casusluk grubu tarafından düzenlenen bir kimlik avı kampanyasının hedefi oldu. XDS casusu.
The bulgular siber güvenlik firması FACCT’den geliyor ve enfeksiyon zincirlerinin DSDownloader adlı bir kötü amaçlı yazılımın dağıtımına yol açtığını söylüyor. Etkinliğin bu ay gözlemlendiğini de sözlerine ekledi.
XDS casusu belirsiz kökenli bir tehdit aktörü olan Birinci örtüsüz Belarus Bilgisayar Acil Durum Müdahale Ekibi CERT.BY tarafından Şubat 2020’de. ESET tarafından yapılan sonraki bir analiz atfedilen grup bilgi çalma saldırıları 2011 yılından bu yana Doğu Avrupa ve Balkanlar’daki kamu kurumlarına yöneliktir.
Saldırganların başlattığı saldırı zincirlerinin, hedeflerine XDDown olarak bilinen ana kötü amaçlı yazılım modülünü sızdırmak için hedef odaklı kimlik avı e-postalarını kullandığı ve bu modülün sistem bilgilerini toplamak, C: sürücülerini numaralandırmak, harici sürücüleri izlemek, yerel dosyaları sızdırmak ve parolaları toplamak için ek eklentiler bıraktığı bilinmektedir.
Geçtiğimiz yıl boyunca, XDSpy gözlemlenen hedefleme Komuta ve kontrol (C2) sunucusundan daha fazla yük alabilen bir yürütülebilir dosya biçiminde bir çekirdek modülü indirmekten sorumlu olan UTask adlı C# tabanlı bir dropper kullanan Rus kuruluşları.
Son saldırı seti, meşru bir yürütülebilir dosya ve kötü amaçlı bir DLL dosyası içeren bir RAR arşiv dosyasını yaymak için anlaşmayla ilgili yemlerle kimlik avı e-postalarının kullanılmasını içerir. DLL daha sonra DLL yan yükleme teknikleri kullanılarak birincisi aracılığıyla yürütülür.
Bir sonraki aşamada, kütüphane DSDownloader’ı alıp çalıştırmakla ilgilenir, bu da bir sonraki aşamadaki kötü amaçlı yazılımı uzak bir sunucudan gizlice indirirken dikkat dağıtıcı bir sahte dosya açar. FACCT, analiz sırasında yükün artık indirilemeyeceğini söyledi.
Şubat 2022’de başlayan Rusya-Ukrayna savaşının her iki tarafta da siber saldırılarda önemli bir artışa tanık olundu; Rus şirketleri sınırlı DarkWatchman RAT tarafından ve ayrıca izlenen etkinlik kümeleri tarafından Çekirdek Kurt AdamCehennem Tazıları, Hayalet Çekirdek, Nadir Kurt, ReaverBitsve son aylarda Sticky Werewolf gibi isimler de yer aldı.
Dahası, Ukrayna yanlısı hacktivist gruplar Cyber.Anarchy.Squad gibi şirketler de Rus kuruluşlarına odaklanarak, hack-and-leak operasyonları ve yıkıcı saldırılar düzenliyor. Bilgitel Ve Avanpost.
Gelişme, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA) uyarıldı Belaruslu bir tehdit aktörü olan UAC-0057 (diğer adıyla GhostWriter ve UNC1151) tarafından gerçekleştirilen kimlik avı saldırılarındaki artıştan bahsediyoruz. Bu saldırılar, PicassoLoader adı verilen ve enfekte olmuş bilgisayarlara bir Cobalt Strike Beacon bırakmayı amaçlayan bir kötü amaçlı yazılım ailesini dağıtıyor.
Ayrıca, Rusya bağlantılı Turla grubunun, meşru ancak tehlikeye atılmış bir sunucudan alınan PowerShell komut dosyalarını çalıştırabilen ve güvenlik özelliklerini devre dışı bırakabilen dosyasız bir arka kapı sunmak için bir kanal olarak kötü amaçlı bir Windows kısayolu (LNK) dosyasını kullandığı yeni bir kampanyanın keşfedilmesinin ardından geldi.
“Ayrıca sistemin savunmasını zayıflatmak ve kaçınma yeteneğini artırmak için bellek yamalama, AMSI’yi atlatma ve sistemin olay günlüğü özelliklerini devre dışı bırakma özelliklerini kullanır,” G DATA araştırmacıları söz konusu“Algılanmayı önlemek için AWL (Uygulama Beyaz Listesi) Baypasını uygulamak amacıyla Microsoft’un msbuild.exe’sinden yararlanır.”
