Ukrayna’ya yönelik siber saldırıları izleyen tehdit analistleri, kötü şöhretli Rus devlet destekli bilgisayar korsanlığı grubu ‘Gamaredon’un operasyonlarının savaşın parçaladığı ülkeyi ağır bir şekilde hedef almaya devam ettiğini bildiriyor.
Gamaredon (aka Armageddon veya Shuckworm), 18. Bilgi Güvenliği Merkezi’nin bir parçası olduğuna inanılan bir grup Rus bilgisayar korsanıdır. FSB’ninRusya’nın Federal Güvenlik Servisi.
Söz konusu tehdit grubu 2014’ten beri Ukrayna’yı hedef alıyor ve ülkedeki önemli kamu ve özel kuruluşlara yönelik binlerce saldırıdan sorumlu olarak kabul ediliyor.
Ukrayna hedeflerine karşı faaliyeti vites yükseltti Şubat 2022’deki Rus işgalinden bu yana kimlik avı saldırıları ve konuşlandırılması yeni kötü amaçlı yazılım çeşitleri.
Kalıcı, uzun vadeli operasyonlar
tarafından bugün yayınlanan bir rapora göre SymantecBroadcom Software’in bir bölümü olan Gamaredon’un etkinliği, savaşın altıncı ayında hız kesmeden devam ediyor ve en son saldırı dalgası 15 Temmuz ile 8 Ağustos 2022 arasında gerçekleşti.
En son enfeksiyon vektörü, Mayıs 2022’den bu yana Gamaredon ile ilişkili bir “xsph.ru” alt etki alanından bir XML dosyası getiren, kendi kendine açılan bir 7-Zip arşivi taşıyan kimlik avı mesajlarını içerir.
XML dosyası, bir PowerShell bilgi hırsızının yürütülmesine yol açar; Symantec, bunun birkaç hafif değiştirilmiş varyantını tespit etti, büyük olasılıkla algılamadan kaçınma girişimi.
Ek olarak, Rus bilgisayar korsanları, Gamaredon’un ticari marka araçlarından biri olan Pterodo arka kapısını ve bazı durumlarda Giddome arka kapısını almak için VBS indiricilerini kullandı.
Bu arka kapılar, düşmanların ana bilgisayarın mikrofonunu kullanarak ses kaydetmesine, masaüstünden ekran görüntüsü almasına, tuş vuruşlarını günlüğe kaydetmesine ve dışarı sızdırmasına veya ek “.exe” ve “.dll” yüklerini indirip yürütmesine izin verir.
Son olarak, son kampanyada, bilgisayar korsanlarının meşru uzak masaüstü protokol araçlarını ‘Ammyy Admin’ ve ‘AnyDesk’i dağıttıkları gözlemlendi.
Bu taktiklerin hiçbiri yeni değil, Gamaredon’un tehdit grubunun ısrar ve sürekli hedefleme ile telafi ettiği karmaşıklık eksikliğini vurguluyor.
Enfeksiyon noktaları olarak güvenliği ihlal edilmiş sistemler
Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA) ayrıca bildirildi Geçen hafta, güvenliği ihlal edilmiş e-posta hesaplarından gönderilen HTM eklerine dayanan yeni bir kimlik avı kampanyası tespit ettikten sonra son Gamaredon etkinliği hakkında.
CERT-UA’nın enfeksiyon zincirine ilişkin gözlemleri, web tarayıcılarında depolanan verileri yakalamaya çalışan PowerShell bilgi hırsızları hakkında da rapor verir.
Ukrayna’nın siber güvenlik ajansı tarafından fark edilen ilginç bir taktik, Gamaredon’un özel hazırlanmış bir makro kullanarak ana bilgisayardaki “Normal.dotm” dosyasını değiştirmeye çalışmasıdır.
Bu dosya varsayılan Microsoft Word şablonudur, bu nedenle dosyanın değiştirilmesi, güvenliği ihlal edilmiş makinede oluşturulan tüm belgeleri kötü amaçlı kodla bağlama potansiyeline sahiptir.
Bunu yaparak, Gamaredon, habersiz alıcıların güvendikleri göndericilerden gelen bağcıklı belgeleri açma olasılığı daha yüksek olduğundan, kurbanları yeni enfeksiyon kaynakları ve yüksek kaliteli kaynaklar olarak kullanır.