PicassoLoader Kötü Amaçlı Yazılımı
Infosec uzmanları, Ukrayna ve Polonya'daki hedeflere yönelik bir dizi siber saldırı kampanyası belirledi. Siber suçlular, devlet kurumlarını, askeri kuruluşları ve sivil kullanıcıları tehlikeye atmaya odaklanır. Bu kampanyalar, hassas verileri yasa dışı bir şekilde elde etmeyi ve güvenliği ihlal edilmiş sistemlere sürekli uzaktan erişim sağlamayı amaçlar.
Nisan 2022'den Temmuz 2023'e kadar uzanan bir dönemi kapsayan bu izinsiz giriş kampanyasında çeşitli taktikler kullanılıyor. Kurbanları aldatmak ve PicassoLoader olarak bilinen bir indirici kötü amaçlı yazılımın dağıtımını kolaylaştırmak için kimlik avı tuzakları ve aldatıcı belgeler kullanılır. Bu tehdit edici yazılım, diğer güvenli olmayan araçları, özellikle Cobalt Strike Beacon ve njRAT'ı başlatmak için bir ağ geçidi görevi görür.
Kimlik avı tuzakları, kişileri kullanıcı adları, parolalar veya hesap kimlik bilgileri gibi hassas bilgileri ifşa etmeleri için kandırmak için kullanılan aldatıcı tekniklerdir. Sahte belgeler, meşru görünmek için tasarlanmış, ancak aslında güvenli olmayan yükler içeren gizlenmiş dosyalardır. Saldırganlar, kurbanları bu aldatıcı belgelerle etkileşime girmeye ikna ederek PicassoLoader indiricisini sistemlerine uygulayabilir.
PicassoLoader başarıyla konuşlandırıldığında, saldırının bir sonraki aşaması için bir kanal görevi görür. İki ek kötü amaçlı yazılım türünün yüklenmesini ve yürütülmesini sağlar: Cobalt Strike Beacon ve njRAT. Cobalt Strike Beacon, saldırganların güvenliği ihlal edilmiş sistemler üzerinde yetkisiz erişim ve kontrol elde etmelerini sağlayan gelişmiş bir penetrasyon testi aracıdır. njRAT'a gelince, saldırganların virüslü sistemlere yetkisiz uzaktan erişim sağlayarak tespit edilmeden kötü niyetli faaliyetler gerçekleştirmelerine izin veren bir uzaktan erişim truva atıdır.
İçindekiler
PicassoLoader Kötü Amaçlı Yazılımı, Çok Aşamalı Bulaşma Zincirinin Bir Parçası Olarak Dağıtıldı
PicassoLoader'ın arkasındaki saldırganlar, zararlı faaliyetlerini yürütmek için çok aşamalı bir bulaşma zinciri kullandılar. İlk aşama, güvenliği ihlal edilmiş Microsoft Office belgelerinin kullanımını içeriyordu; Microsoft Excel ve PowerPoint dosya formatları en yaygın olarak kullanılanlardı. Bu belgeler saldırı için başlangıç noktası görevi görüyor.
Office belgelerinin ardından, yürütülebilir bir indirici ve yük, bir görüntü dosyası içinde gizlenir. Bu taktik muhtemelen indiricinin ve yükün tespitini güvenlik sistemleri için daha zor hale getirmek için kullanıldı. Saldırganlar, bir görüntü dosyası içinde saklanarak güvenlik önlemlerini atlamayı ve başarılı sızma şansını artırmayı amaçlar.
Bu saldırılardan bazıları GhostWriter olarak bilinen ve UAC-0057 veya UNC1151 olarak da izlenen bir tehdit aktörüne atfedildi. GhostWriter'ın motivasyonlarının ve hedeflerinin Belarus hükümetinin çıkarlarıyla uyumlu olduğuna inanılıyor.
Ukrayna’ya Yönelik Çok Sayıda Hedefli Saldırı Gözlemlendi
Bu saldırıların bir alt kümesinin geçtiğimiz yıl Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından zaten belgelenmiş olduğunu belirtmekte fayda var. Dikkate değer bir örnek, Ajan Tesla kötü amaçlı yazılımını dağıtmak için makro yüklü PowerPoint belgelerinin kullanıldığı Temmuz 2022'de meydana geldi. Bu olay, makroların kötü amaçlı yazılım dağıtmak ve kurbanların sistemlerini tehlikeye atmak için bir araç olarak kullanıldığını vurguladı.
Bu saldırılarda kullanılan bulaşma zincirleri, kurbanları Office belgelerinde makroları etkinleştirmeye ikna etmek için sosyal mühendislik yöntemlerine dayanır. Makrolar etkinleştirildiğinde, bir VBA makrosu tetiklenir ve PicassoLoader DLL indirici tehdidinin konuşlandırılmasına yol açar. Bu indirici daha sonra saldırganlar tarafından kontrol edilen bir siteyle bağlantı kurarak meşru görünen bir resim dosyasına gömülü bir sonraki aşama yükünü alır. Son kötü amaçlı yazılım bu görüntü dosyasında gizlenmiştir.
CERT-UA tarafından yapılan bu son açıklamalar, SmokeLoader kötü amaçlı yazılımını dağıtan çeşitli kimlik avı operasyonlarına ilişkin raporlarıyla aynı zamana denk geliyor. Ek olarak, hesapları üzerinde yetkisiz kontrol elde etmek amacıyla Telegram kullanıcılarını hedef alan bir smishing saldırısı tespit edildi.
GhostWriter, Ukrayna’yı Hedef Alan Siber Suç Gruplarından Sadece Biri
Ukrayna, kötü şöhretli Rus ulus-devlet grubu APT28 de dahil olmak üzere çok sayıda tehdit aktörünün hedefi haline geldi. APT28'in, alıcıları UKR.NET ve Yahoo! hesaplar. E-postalar, kullanıcılardan parolalarını değiştirmelerini ister ancak bunun yerine, oturum açma kimlik bilgilerini toplamak için tasarlanmış sahte açılış sayfalarına yönlendirir.
Bu son gelişme, Rus askeri istihbaratı (GRU) ile ilişkili bilgisayar korsanlarının faaliyetlerinde gözlemlenen daha geniş bir modelin parçasıdır. Saldırılarının hızını, ölçeğini ve yoğunluğunu artırmak için kasıtlı bir çaba göstererek, Ukrayna'ya karşı yıkıcı operasyonlarında 'standart beş aşamalı bir oyun kitabı' benimsediler.
