Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), Armageddon (Gamaredon) olarak izlenen Rus tehdit grubuna atfedilen yeni kimlik avı girişimlerini tespit etti.
Kötü niyetli e-postalar, alıcıları Ukrayna’daki savaştan sonra temalı yemlerle kandırmaya ve casusluk odaklı kötü amaçlı yazılımlarla hedef sistemlere bulaşmaya çalışır.
CERT-UA, biri hedef alan olmak üzere iki ayrı vaka belirledi Ukraynalı kuruluşlar diğeri ise devlet kurumlarına odaklanan Avrupa Birliği.
Armagedon kimdir?
Armageddon, en az 2014’ten beri Ukrayna’yı hedef alan ve FSB’nin (Rusya Federal Güvenlik Servisi) bir parçası olarak kabul edilen Rus devlet destekli bir tehdit aktörüdür.
Ukrayna gizli servisi tarafından yayınlanan ayrıntılı bir teknik rapora göre Kasım 2021’deArmageddon, ülkedeki 1.500 kritik varlığa karşı en az 5.000 siber saldırı başlattı.
Ukrayna kuvvetleri daha önce Armageddon siber gücünün üyelerini tespit etmiş, araç setlerini ifşa etmiş ve özel kötü amaçlı yazılım geliştirme çabalarını Rus bilgisayar korsanlığı forumlarına kadar takip etmişti.
Bu nedenle, siber müdahale ekiplerinin sınırlı kaynaklara ve zamana sahip olduğu kaotik savaş durumlarında bile, geçmişte gerçekleştirilen kapsamlı tanımlama çalışmaları nedeniyle bazı atıflar daha güvenle yapılabilir.
Ukrayna odaklı kampanya
Armageddon’un Ukrayna’yı hedefleyen kampanyası, ülkedeki çeşitli devlet kurumlarına “Rusya Federasyonu’nun savaş suçluları hakkında bilgi” konulu e-postalar dağıtıyor.
“vadim_melnik88Kurucu Yönetici adresinden gönderilen e-postalar[.]ua”, CERT-UA’nın şu anda güvenlik yazılımı tarafından düşük algılamaya sahip olduğunu söylediği bir HTML eki içerir.
Açılırsa, otomatik olarak bir RAR dosyası oluşturulur ve bilgisayarda, sözde Ukrayna’daki savaş suçlarından sorumlu kişilerin kimlik ayrıntılarını bir kısayol dosyasında (.lnk) içeren bir RAR dosyası oluşturulur.
Ancak, bu LNK dosyasına tıklamak, son yükü almak için bir PowerShell betiği çalıştıran VBScript koduyla bağlanmış başka bir HTA dosyası indirecektir.
AB kampanyası
Armageddon, çeşitli AB hükümet yetkililerini hedef alan kampanyada, “Assistance” ve “Necessary_military_assistance” adlı RAR arşiv eklerini kullanıyor.
Bu arşivler, sözde Ukrayna’ya askeri ve insani yardım için ihtiyaç duyulan şeylerin listelerini içeren kısayol dosyaları (.lnk) içeriyor. Bu dosyanın açılması, önceki bölümde açıklanan aynı kötü amaçlı yazılım bulaşma zincirini tetikler.
Gönderenin adresi “info@military-ukraine[.]imzalayan kişinin Ukrayna’da Silahlanma Komutan Yardımcısı ve Tümgeneral olduğu varsayılırken meşru olarak geçebilir.
CERT-UA, Letonya hükümetinin gelen kutusuna ulaşan bu e-postaların en az bir vakasını doğruladı. Bu nedenle, aynı kampanya muhtemelen daha fazla Avrupa hükümetini hedefliyor.
Bu rapor, geçen haftaki gibi AB kuruluşlarını hedef alan Rusya kaynaklı saldırıların diğer yakın tarihli bulgularıyla uyumludur. Google ETİKETİ kimlik avı kampanyası raporu, dağıtımı silecek-kötü amaçlı yazılım KA-SAT uydu hizmetine karşı, GPS sistemi paraziti Baltık bölgesive bunlara yönelik kimlik avı saldırıları mülteci krizine yardım.