- 10 Ağu 2022
- 168
- 100
Ukrayna'daki devlet kurumları, istismar sonrası faaliyetleri yürütmek için Windows 10 yükleyici dosyalarının truva atı haline getirilmiş sürümlerinden yararlanan yeni bir kampanyanın parçası olarak ihlal edildi.
2022 Temmuz ayı ortalarında "sosyal olarak tasarlanmış tedarik zinciri" saldırısını keşfeden Mandiant, kötü amaçlı ISO dosyalarının Ukraynaca ve Rusça Torrent web siteleri aracılığıyla dağıtıldığını söyledi. Tehdit kümesini UNC4166 olarak izliyor.
Siber güvenlik şirketi Perşembe günü yayınlanan derin teknik incelemesinde, "Güvenliği ihlal edilmiş yazılımın yüklenmesinin ardından, kötü amaçlı yazılım, güvenliği ihlal edilmiş sistem hakkında bilgi toplar ve sistemden dışarı sızar" dedi.
Düşman kolektifin menşei bilinmemekle birlikte, izinsiz girişlerin daha önce Rus devlet destekli bir aktör olan APT28'e atfedilen yıkıcı silme saldırılarının kurbanı olan kuruluşları hedef aldığı söyleniyor.
Google'ın sahip olduğu tehdit istihbaratı firmasına göre ISO dosyası, telemetri verilerinin virüslü bilgisayardan Microsoft'a iletimini devre dışı bırakmak, PowerShell arka kapılarını yüklemek ve otomatik güncellemeleri ve lisans doğrulamasını engellemek için tasarlandı.
Operasyonun birincil amacı, makinelere yerleştirilen ek implantlarla bilgi toplamak gibi görünüyor, ancak yalnızca tehlikeye atılmış ortamın değer zekası içerip içermediğini belirlemek için bir ilk keşif yaptıktan sonra.
Bunlar arasında, açık kaynaklı bir proxy aracı olan Stowaway, Cobalt Strike Beacon ve C'de programlanan hafif bir arka kapı olan ve tehdit aktörünün komutları yürütmesine, verileri toplamasına, tuş vuruşlarını ve ekran görüntülerini yakalamasına ve bilgileri uzak bir sunucuya dışa aktarmasına olanak tanıyan SPAREPART yer alıyordu.
Bazı durumlarda, saldırgan, TOR anonimlik tarayıcısını kurbanın cihazına indirmeye çalıştı. Bu eylemin kesin nedeni net olmamakla birlikte alternatif bir sızma yolu işlevi görmüş olabileceğinden şüpheleniliyor.
Windows 10 Yükleyici
SPAREPART, adından da anlaşılacağı gibi, diğer yöntemlerin başarısız olması durumunda sisteme uzaktan erişimi sürdürmek için dağıtılan gereksiz bir kötü amaçlı yazılım olarak değerlendirilir. Ayrıca, saldırı zincirinin başlarında bırakılan PowerShell arka kapılarıyla işlevsel olarak aynıdır.
"Truva atı haline getirilmiş ISO'ların casusluk operasyonlarında kullanılması yeni bir uygulamadır ve dahil edilen tespit önleme yetenekleri, bu faaliyetin arkasındaki aktörlerin güvenlik bilincine sahip ve sabırlı olduğunu gösterir, çünkü operasyon ISO'nun geliştirilmesi ve beklenmesi için önemli bir zaman ve kaynak gerektirecektir. bir ilgi ağına kurulu," dedi Mandiant.
Bulut Atlası Rusya ve Beyaz Rusya'yı Saldırı
Bulgular, Check Point ve Positive Technologies'in, devam eden bir kampanyanın parçası olarak Rusya, Beyaz Rusya, Azerbaycan, Türkiye ve Slovenya'da hükümet sektörüne yönelik Bulut Atlası adlı bir casusluk grubu tarafından düzenlenen saldırıları ifşa etmesiyle geldi.
2014'ten beri aktif olan bilgisayar korsanlığı ekibi, Doğu Avrupa ve Orta Asya'daki varlıklara saldırma konusunda bir geçmişe sahip. Ancak bu Şubat ayının başlarında Rus-Ukrayna savaşının patlak vermesi, dikkatini Rusya, Beyaz Rusya ve Transdinyester'deki örgütlere kaydırmasına yol açtı.
Check Point geçen hafta yaptığı bir analizde, "Aktörler ayrıca Rusya'nın ilhak ettiği Kırım Yarımadası, Lugansk ve Donetsk bölgelerine odaklanmaya devam ediyor."
Clean Ursa, Inception, Oxygen ve Red October olarak da adlandırılan Bulut Atlası, TajMahal, DarkUniverse ve Metador gibi diğer APT'lerin beğenisine katılarak bugüne kadar atfedilmemiştir. Grup, adını kötü amaçlı yazılımları barındırmak ve komuta ve kontrol (C2) için CloudMe ve OpenDrive gibi bulut hizmetlerine güvenmesinden alıyor.
2022 Temmuz ayı ortalarında "sosyal olarak tasarlanmış tedarik zinciri" saldırısını keşfeden Mandiant, kötü amaçlı ISO dosyalarının Ukraynaca ve Rusça Torrent web siteleri aracılığıyla dağıtıldığını söyledi. Tehdit kümesini UNC4166 olarak izliyor.
Siber güvenlik şirketi Perşembe günü yayınlanan derin teknik incelemesinde, "Güvenliği ihlal edilmiş yazılımın yüklenmesinin ardından, kötü amaçlı yazılım, güvenliği ihlal edilmiş sistem hakkında bilgi toplar ve sistemden dışarı sızar" dedi.
Düşman kolektifin menşei bilinmemekle birlikte, izinsiz girişlerin daha önce Rus devlet destekli bir aktör olan APT28'e atfedilen yıkıcı silme saldırılarının kurbanı olan kuruluşları hedef aldığı söyleniyor.
Google'ın sahip olduğu tehdit istihbaratı firmasına göre ISO dosyası, telemetri verilerinin virüslü bilgisayardan Microsoft'a iletimini devre dışı bırakmak, PowerShell arka kapılarını yüklemek ve otomatik güncellemeleri ve lisans doğrulamasını engellemek için tasarlandı.
Operasyonun birincil amacı, makinelere yerleştirilen ek implantlarla bilgi toplamak gibi görünüyor, ancak yalnızca tehlikeye atılmış ortamın değer zekası içerip içermediğini belirlemek için bir ilk keşif yaptıktan sonra.
Bunlar arasında, açık kaynaklı bir proxy aracı olan Stowaway, Cobalt Strike Beacon ve C'de programlanan hafif bir arka kapı olan ve tehdit aktörünün komutları yürütmesine, verileri toplamasına, tuş vuruşlarını ve ekran görüntülerini yakalamasına ve bilgileri uzak bir sunucuya dışa aktarmasına olanak tanıyan SPAREPART yer alıyordu.
Bazı durumlarda, saldırgan, TOR anonimlik tarayıcısını kurbanın cihazına indirmeye çalıştı. Bu eylemin kesin nedeni net olmamakla birlikte alternatif bir sızma yolu işlevi görmüş olabileceğinden şüpheleniliyor.
Windows 10 Yükleyici
SPAREPART, adından da anlaşılacağı gibi, diğer yöntemlerin başarısız olması durumunda sisteme uzaktan erişimi sürdürmek için dağıtılan gereksiz bir kötü amaçlı yazılım olarak değerlendirilir. Ayrıca, saldırı zincirinin başlarında bırakılan PowerShell arka kapılarıyla işlevsel olarak aynıdır.
"Truva atı haline getirilmiş ISO'ların casusluk operasyonlarında kullanılması yeni bir uygulamadır ve dahil edilen tespit önleme yetenekleri, bu faaliyetin arkasındaki aktörlerin güvenlik bilincine sahip ve sabırlı olduğunu gösterir, çünkü operasyon ISO'nun geliştirilmesi ve beklenmesi için önemli bir zaman ve kaynak gerektirecektir. bir ilgi ağına kurulu," dedi Mandiant.
Bulut Atlası Rusya ve Beyaz Rusya'yı Saldırı
Bulgular, Check Point ve Positive Technologies'in, devam eden bir kampanyanın parçası olarak Rusya, Beyaz Rusya, Azerbaycan, Türkiye ve Slovenya'da hükümet sektörüne yönelik Bulut Atlası adlı bir casusluk grubu tarafından düzenlenen saldırıları ifşa etmesiyle geldi.
2014'ten beri aktif olan bilgisayar korsanlığı ekibi, Doğu Avrupa ve Orta Asya'daki varlıklara saldırma konusunda bir geçmişe sahip. Ancak bu Şubat ayının başlarında Rus-Ukrayna savaşının patlak vermesi, dikkatini Rusya, Beyaz Rusya ve Transdinyester'deki örgütlere kaydırmasına yol açtı.
Check Point geçen hafta yaptığı bir analizde, "Aktörler ayrıca Rusya'nın ilhak ettiği Kırım Yarımadası, Lugansk ve Donetsk bölgelerine odaklanmaya devam ediyor."
Clean Ursa, Inception, Oxygen ve Red October olarak da adlandırılan Bulut Atlası, TajMahal, DarkUniverse ve Metador gibi diğer APT'lerin beğenisine katılarak bugüne kadar atfedilmemiştir. Grup, adını kötü amaçlı yazılımları barındırmak ve komuta ve kontrol (C2) için CloudMe ve OpenDrive gibi bulut hizmetlerine güvenmesinden alıyor.
