Rus bilgisayar korsanları, hala aktif olan yeni bir casusluk kampanyası sırasında daha önce görülmemiş bilgi çalma amaçlı kötü amaçlı yazılımlarla Ukraynalı varlıkları hedef alıyor.
Cisco Talos’taki güvenlik araştırmacıları, kampanyayı, esas olarak Ukrayna hükümetindeki kuruluşları, kritik altyapı, savunma, güvenlik ve kolluk kuvvetlerini hedef alma konusunda uzun bir geçmişi olan Rus devlet destekli bir tehdit grubu olan Gamaredon’a bağlıyor.
İlkel Ayı, Shuckworm, IronTiden ve Callisto olarak da bilinen Gamaredon, kurban sistemlerine uzun vadeli erişim sağlamak için sosyal mühendislik ve hedef odaklı kimlik avına güveniyor.
Gamaredon’un araç setindeki yeni kötü amaçlı yazılım
Tehdit grubu, yalnızca kampanyalarında kullanılan kötü amaçlı yazılımlar (ör. kötü amaçlı komut dosyaları, bilgi hırsızları, arka kapılar) geliştirmesiyle tanınır.
Cisco Talos, yeni gözlemlenen bir casusluk kampanyasını (Ağustos 2022) Gamaredon’a bağladı ve kurban bilgisayarlardan belirli dosya türlerini çıkarabilen ve ek kötü amaçlı yazılımları dağıtabilen yeni bir bilgi hırsızının kullanıldığını fark etti.
“Bu, Gamaredon’un daha önce başka kampanyalarda kullanmadığı yeni bir bilgi hırsızı. Bunun Gamaredon’ın “Giddome” arka kapı ailesinin bir parçası olabileceğinden şüpheleniyoruz, ancak şu anda bunu doğrulayamıyoruz” – Cisco Talos
Yeni kötü amaçlı yazılım parçası, şu uzantılara sahip dosyaları çalmak için net talimatlara sahiptir: .DOC, .DOCX, .XLS, .RTF, .ODT, .TXT, .JPG, .JPEG, .PDF, .PS1, .RAR, . ZIP, .7Z VE .MDB.
Yakın zamanda açıklanana benzer bir PowerShell betiği tarafından teslim edilir. Ukrayna CERT’den uyarı Yılın ilk yarısında Gamaredon saldırıları hakkında.
Cisco Talos, Gamaredon’un yeni bilgi hırsızının, dosyaları bağlı depolama aygıtlarından (yerel ve uzak) sızdırabileceğini ve çalınan her dosya için meta veriler ve içeriğiyle birlikte bir POST isteği oluşturabileceğini söylüyor.
kaynak: Cisco Talos
Dizinlerdeki tüm dosyaların yinelemeli sayımı sırasında, kötü amaçlı yazılım sistem klasörlerinin yalnızca tehdit aktörünün ilgilendiği dosyalara odaklanmasını önler.
Araştırmacılar, bilgi hırsızının, teslim edilen verilerin nasıl ele alınması gerektiğine dair talimatlar veren komut ve kontrol (C2) sunucusundan ek dosyalar da indirebileceğini fark ettiler.
Yük bir yürütülebilir dosyaysa (“1” ile işaretlenir), dosya diske yazılır ve çalıştırılır. Bir alternatif, aynı zamanda diske yazılan ve Windows Komut Dosyası Ana Bilgisayarı (wscript.Exe) kullanılarak başlatılan bir VBS dosyasıdır (“2” ile işaretlenir).
Üçüncü bir seçenek, “1” veya “2” dışında herhangi bir değerle işaretlenen ve Windows geçici klasöründe depolanan bir veri bloğudur.
Cisco Talos, Gamaredon’un kötü amaçlı yazılımının sistemde bulunduğunun bir göstergesinin, oturum açma sırasında çalıştırılacak “Windows Task” adlı bir kayıt defteri anahtarı ve “Global\flashupdate_r” adlı bir muteks olduğunu belirtiyor.
Gamaredon’un bilgi hırsızı, yaklaşık bir aydan biraz daha uzun bir süre önce Virus Total veritabanına eklendi ve şu anda en az 50 antivirüs motoru tarafından algılanıyor.
kaynak: Cisco Talos
Bilgisayar korsanları, kötü amaçlı VBS makroları içeren Microsoft Office belgelerini taşıyan kimlik avı e-postaları aracılığıyla kötü amaçlı yazılımı iletir.
VBS kodu uzak şablonlarda gizlenir ve belgeyi açarken, LNK dosyalarıyla RAR arşivlerini indirirken yürütülür.
Hem LNK dosyaları hem de Microsoft Office belgeleri, Rusya’nın Ukrayna’yı işgaline atıfta bulunan isimlere sahiptir.
kaynak: Cisco Talos
LNK dosyalarının amacı, bir Rus etki alanından (xsph[.]ru) Gamaredon’un geçmiş casusluk kampanyaları için kullandığı.
Kurbandan veri toplamak (bilgisayar adı, cilt seri numarası, base64 kodlu ekran görüntüsü) ve bunu uzak bir sunucuya göndermek için başka bir PowerShell betiği indirilir ve yürütülür.
kaynak: Cisco Talos
Cisco Talos, kötü amaçlı belgeler, LNK dosyaları, RAR arşivleri, yeni bilgi hırsızı, URL’ler ve yük bırakma siteleri için bir güvenlik ihlali göstergeleri listesi sağlamıştır.
Kuruluşlar, kuruluşlarını Gamaredon’un başlatabileceği casusluk kampanyalarından korumak için IoC’leri kullanabilir.