Rusya’da, Ukrayna’ya karşı savaş hakkında devlet ve ulusal medya tarafından desteklenen görüşlere karşıt görüşlere sahip muhalifleri hedef alan yeni bir zıpkınla kimlik avı kampanyası yürütülüyor.
Kampanya, ülkede yasak olan yazılım araçları ve çevrimiçi platformlar hakkında uyarı e-postalarıyla devlet çalışanlarını ve kamu görevlilerini hedef alıyor.
Mesajlar, alıcının sistemine bir Kobalt Vuruşu işareti bırakan ve uzak operatörlerin hedef üzerinde casusluk yapmasına olanak tanıyan, gövdeye gömülü kötü amaçlı bir ek veya bağlantı ile birlikte gelir.
Kampanyanın keşfi ve müteakip raporlaması, şu anda tehdit analistlerinden geliyor: Malwarebytes Laboratuvarlarıbirkaç yem e-postasını örneklemeyi başardı.
Birden çok kimlik avı yolu
Kimlik avı e-postaları, alıcıları eki açmaya ikna etmek için bir Rus devlet kuruluşundan, bir bakanlıktan veya federal bir hizmetten geliyormuş gibi görünüyor.
“Rusya Federasyonu Bilgi Teknolojileri ve İletişim Bakanlığı” ve “Dijital Kalkınma, İletişim ve Kitle İletişim Bakanlığı”, sahtecilik yapılan başlıca iki kuruluştur.
Tehdit aktörleri, hedeflerine Kobalt Strike bulaştırmak için RTF (zengin metin formatı) dosyaları, kötü amaçlı belgelerle bağlanmış belgelerin arşiv ekleri ve e-posta gövdesine gömülü indirme bağlantıları olmak üzere üç farklı dosya türü kullanır.
RTF’lerin durumu, istismarı içermesi nedeniyle en ilginç olanıdır. CVE-2021-40444Microsoft Office belgeleri tarafından kullanılan işleme motorunda bir uzaktan kod yürütme kusuru.
Beklendiği gibi, tüm kimlik avı e-postaları Rusça yazılmıştır ve makine çevirisi değil, dilin ana dili konuşmacıları tarafından hazırlanmış gibi görünmektedir, bu da kampanyanın Rusça konuşan bir aktörün çabası olduğunu düşündürmektedir.
Malwarebytes, Cobalt Strike dışında, sonraki aşama yük alma yeteneklerine sahip, oldukça karmaşık bir PowerShell tabanlı uzaktan erişim truva atı (RAT) dağıtmaya yönelik paralel girişimleri de fark etti.
Muhaliflere darbe
Bu kampanyanın hedefleri, esas olarak aşağıdaki kuruluşlar dahil olmak üzere Rus hükümeti ve kamu kurumlarında çalışır:
- Çuvaş Cumhuriyeti Resmi İnternet portalı yetkilileri portalı
- Rusya İçişleri Bakanlığı
- Altay Cumhuriyeti Eğitim ve Bilim Bakanlığı
- Stavropol Bölgesi Eğitim Bakanlığı
- Kuzey Osetya-Alanya Cumhuriyeti Eğitim ve Bilim Bakanı
- Astrakhan bölgesi hükümeti
- Irkutsk Bölgesi Eğitim Bakanlığı
- Devlet ve belediye hizmetinin portalı Moskova bölgesi
- Rusya Federasyonu Bilim ve Yüksek Öğrenim Bakanlığı
Yukarıdaki kuruluşlar, kimlik avı aktörlerinin, kilit konumlarda bulunan ve savaş karşıtı hareketleri kışkırtarak merkezi hükümette sorunlara neden olabilecek kişileri hedef aldığını göstermektedir.
Ukrayna’daki sözde “özel operasyon”, Kremlin’in öngördüğü şekilde gelişmedi ve batı yaptırımları, açıklananın çok ötesinde bir ölçekte ortaya çıktı, bu nedenle bu kampanya, yüksek hükümetin karşı uyanıklığını artırmasının sonucu olabilir. potansiyel çekimler.
Bu, Rusya merkezli bilgisayar korsanlarının neden yarı üst düzey hükümet yetkililerine ve bakanlık çalışanlarına karşı casusluk yapmakla ilgilendiğinin çok muhtemel bir açıklaması, ancak şu anda bu sadece bir varsayım.
Malwarebytes, en son kampanyanın arkasındaki tehdit aktörü/aktörleri tarafından kullanılan altyapının haritasını çıkardı ve ilgili etkinliği izlemeye devam edecek.