LitterDrifter Solucanı
Rusya Federal Güvenlik Servisi'ne (FSB) bağlı siber casusluk görevlilerinin, Ukraynalı kuruluşlara yönelik saldırılarda LitterDrifter adlı USB yayan bir solucan kullandıkları tespit edildi.
Bu saldırıyı düzenleyen varlığın, Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm ve Winterflounder gibi takma adlarla da bilinen Gamaredon olduğu belirtiliyor. Bu bilgisayar korsanları tarafından kullanılan son stratejiler, grubun kapsamlı kampanyalar yürüttüğünü ve bunu belirli hedeflere yönelik titiz veri toplama çabalarının takip ettiğini gösteriyor. Bu hedeflerin seçiminin casusluk amaçlarına göre belirlendiği varsayılmaktadır.
İçindekiler
LitterDrifter İlk Hedeflerinin Ötesine Yayıldı
LitterDrifter solucanı iki temel işleve sahiptir: Kötü amaçlı yazılımı bağlı USB sürücüleri aracılığıyla otomatik olarak yayar ve tehdit aktörünün Komuta ve Kontrol (C2, C&C) sunucularıyla iletişim kurar. Araştırmacıların Haziran 2023'te açıkladığı, daha önce açıklanan PowerShell tabanlı USB solucanından bir ilerlemeyi temsil ettiğine dair şüpheler var.
VBS'de hazırlanan yayıcı modül, solucanı bir USB sürücüsüne, rastgele atanmış adlara sahip bir tuzak LNK eşliğinde gizlice dağıtma sorumluluğunu üstleniyor. "LitterDrifter" terminolojisi, 'trash.dll' adlı ilk düzenleme bileşeninden türetilmiştir.
Gamaredon, C2 sunucuları olarak kullanılan gerçek IP adresleri için etki alanlarını yer tutucu olarak kullanarak C&C'ye farklı bir yaklaşım benimser.
Üstelik LitterDrifter, tehdit aktörü tarafından 2023'ün başlarından bu yana sürekli olarak kullanılan bir taktik olan Telegram kanalından alınan bir C&C sunucusuna bağlanma yeteneğini de sergiliyor. Siber güvenlik uzmanları, ABD ve Vietnam'da faaliyet olduğunu gösteren tespitlerle Ukrayna dışında potansiyel enfeksiyon belirtileri tespit etti. , Şili, Polonya, Almanya ve Hong Kong.
Gamaredon Saldırı Tekniklerini Geliştiriyor
İçinde bulunduğumuz yıl boyunca Gamaredon, saldırı stratejilerini tutarlı bir şekilde uyarlayarak aktif varlığını sürdürdü. Temmuz 2023'te, tehdit aktörünün hassas bilgileri ilk güvenlik ihlalinden sonraki yalnızca bir saat içinde iletmeyi başarmasıyla, düşmanın hızlı veri sızdırma yeteneği açıkça ortaya çıktı.
LitterDrifter'ın kapsamlı bir toplama operasyonunu kolaylaştırmak için özel olarak tasarlandığı açıktır. Basit ama etkili teknikler kullanan kötü amaçlı yazılım, bölgedeki geniş bir hedef yelpazesine ulaşmasını sağlıyor.
Tehdit Aktörleri Rusya-Ukrayna Savaşının Başlangıcından Bu Yana Faaliyetlerini Arttırdı
Gelişmekte olan olaylar, Ukrayna Ulusal Siber Güvenlik Koordinasyon Merkezi'nin (NCSCC), devlet destekli Rus bilgisayar korsanlarının İtalya, Yunanistan, Romanya ve Azerbaycan da dahil olmak üzere Avrupa çapındaki büyükelçiliklere saldırılar düzenlediğini açıklamasıyla aynı zamana denk geliyor.
APT29'a (Pelerinli Ursa, Rahat Ayı, Demir Baldıran, Midnight Blizzard ve daha fazlası olarak da bilinir) atfedilen bu izinsiz girişler, yakın zamanda ortaya çıkan WinRAR güvenlik açığından (CVE-2023-38831) BMW'lerin satış iddiaları gibi aldatıcı tuzaklar yoluyla yararlanıyor. Tehdit aktörünün daha önce kullandığı tema.
Saldırı dizisi, özel hazırlanmış bir ZIP dosyasına bağlantı içeren kimlik avı e-postalarının kurbanlara dağıtılmasıyla başlıyor. Başlatma sonrasında bu kusur, Ngrok'ta barındırılan uzak bir sunucudan bir PowerShell betiği almak için kullanılıyor. CVE-2023-38831 güvenlik açığının Rus istihbarat servislerinin bilgisayar korsanlığı grupları tarafından tekrar tekrar kullanılması, bu güvenlik açığının artan popülaritesini ve karmaşıklığını vurguluyor.
Ayrıca CERT-UA (Ukrayna Bilgisayar Acil Durum Müdahale Ekibi), güvenli olmayan RAR arşivlerini yayan bir kimlik avı kampanyasıyla ilgili bilgileri açıkladı. Bu arşivlerin Ukrayna Güvenlik Servisi'nden (SBU) alınan bir PDF belgesi içerdiği iddia ediliyor. Ancak gerçekte Remcos RAT'ın konuşlandırılmasına yol açan bir yürütülebilir dosyayı barındırırlar.
