Siber güvenlik araştırmacıları Pazartesi günü, Temmuz 2021’de Ukraynalı bir varlığı hedef alan Rusya bağlantılı bir bilgisayar korsanlığı operasyonunun saldırı girişimlerinin kanıtlarını ortaya çıkardıklarını söyledi.
Broadcom’a ait Symantec, Pazartesi günü yayınlanan yeni bir raporda, saldırıları, en az 2013’ten beri aktif olduğu bilinen bir siber casusluk kolektifi olan Gamaredon (aka Shuckworm veya Armageddon) olarak izlenen bir aktöre bağladı.
Kasım 2021’de Ukrayna istihbarat teşkilatları, grubu Rusya Federal Güvenlik Servisi’nin (FSB) “özel projesi” olarak damgaladı ve ülkede bulunan kamu yetkililerine ve kritik altyapıya karşı 5.000’den fazla siber saldırı gerçekleştirdiğini belirtti.
Gamaredon saldırıları tipik olarak, alıcıları Pterodo adlı özel bir uzaktan erişim truva atı yüklemeleri için kandıran kimlik avı e-postalarından kaynaklanır. Symantec, 14 Temmuz 2021 ile 18 Ağustos 2021 arasında aktörün arka kapının çeşitli varyantlarını kurduğunu ve ek komut dosyaları ve araçlar dağıttığını açıkladı.
Araştırmacılar, “Saldırı zinciri, muhtemelen virüslü makinenin kullanıcısı tarafından açılan bir kimlik avı e-postası yoluyla gönderilen kötü amaçlı bir belgeyle başladı.” söz konusu. Etkilenen kuruluşun kimliği açıklanmadı.
Temmuz ayının sonuna doğru, düşman, kontrolleri altındaki uzak bir komut ve kontrol sunucusuyla bağlantı kurmadan önce bir VNC istemcisi için bir damlalık görevi gören yürütülebilir bir dosyayı indirmek ve çalıştırmak için implanttan yararlandı.
“Bu VNC istemcisi, bu saldırı için nihai yük gibi görünüyor,” diyen araştırmacılar, kurulumun ardından iş tanımlarından güvenliği ihlal edilen makinedeki hassas şirket bilgilerine kadar bir dizi belgeye erişildiğini ekledi.
Ukrayna Silecek Saldırılarında Yanlış Bayrak Operasyonu Çağırdı
Bulgular, yıkıcı ve yıkıcı bir dalganın ortasında geliyor. yıkıcı saldırılar Rus devlet destekli aktörler tarafından Ukraynalı kuruluşlara karşı alınan ve WhisperGate adlı bir dosya silicisinin konuşlandırılmasıyla sonuçlandı, aynı zamanda hükümete ait birden fazla web sitesi tahrif edildi.
Sonraki soruşturma o zamandan beri kötü amaçlı yazılıma meydana çıkarmak Silicide kullanılan kodun, Mart 2021’de Rus kurbanlarını hedef alan WhiteBlackCrypt adlı sahte bir fidye yazılımı kampanyasından yeniden tasarlandığını söyledi.
İlginç bir şekilde, fidye yazılımının üç dişli bir sembol içerdiği biliniyor – bu, Ukrayna arması – kurbanlarına gösterdiği fidye notunda, Ukrayna’nın bunun kasıtlı olarak “sahte” bir Ukrayna yanlısı grubu kendi hükümetlerine bir saldırı düzenlemekle suçlamayı amaçlayan bir sahte bayrak operasyonu olabileceğinden şüphelenmesine yol açtı.
