Rus APT Grupları Ukrayna'ya Yönelik Siber Saldırıları Yoğunlaştırıyor

Ukrayna'daki savaş, günümüzün ateşkes düzenlemeleri ve sivil nüfusu güvenli bir şekilde tahliye etme çabalarıyla birlikte inip çıkarken, çatışma siber uzayda hâlâ şiddetle devam ediyor. Google'ın Tehdit Analizi Grubu'nun raporlarına göre, Rus hükümetini destekleyen iki APT , Ukrayna hedeflerine saldırıyor ve bir Çinli ekip, mevcut durumu Avrupa hedeflerini vurmak için kullanıyor.

Rus ve Çinli APT'ler Ukrayna ve Avrupa'yı hedefliyor

Google'ın Ukrayna hedeflerine yönelik mevcut siber saldırılara öncülük ettiğini öne sürdüğü iki Rus yanlısı kuruluş , APT28 olarak da bilinen Fancy Bear ve 2021'in sonlarında Belarus ile bağlantılı aktif bir kalıcı tehdit grubu olan Ghostwriter'dır.

Google ayrıca, APT'nin etkinliğinde bir artış olduğunu bildiriyor.Çinli aktörlerle bağlantılı Mustang Panda. Çinli ekip, şu anda bir dizi Avrupa ülkesinde devam eden çatışmalar ve mülteci akını ile ilgili kimlik avı tuzakları kullanarak Avrupa merkezli kuruluşları hedef alıyor.

Rus yanlısı APT'ler tarafından başlatılan kimlik avı saldırıları, daha önce ele geçirilmiş e-posta adreslerini kullanır ve potansiyel kurbanları, büyük ölçüde standart kimlik avı prosedürü olan APT tarafından kontrol edilen sayfalara yönlendirir. Google, Ghostwriter'ın hem Ukrayna hem de Polonya askeri ve devlet kurumlarına karşı kimlik avı kampanyaları başlattığını tespit etti.

Google, kimlik bilgisi avı için kullanılan bir dizi alan adının Google'ın "güvenli tarama" işlevi aracılığıyla zaten engellendiğini bildirdi. Alan adları, "i nokta ua-pasaport nokta üst" ve "giriş noktası kimlik bilgileri-e-posta nokta alanı" gibi olağandışı adlar içeriyordu.

Mustang Panda mevcut mülteci durumundan yararlanıyor

Bu arada, Çinli Mustang Panda, Avrupalı kuruluşlara kimlik avı yemleri gönderiyor ve e-postalara bir tür önemli bilgi veya aciliyet öneren adlarla kötü niyetli dosyalar ekliyor. Google'ın raporu, "Ukrayna.zip ile AB sınırlarındaki durum" gibi dosya adlarına sahip eklerden bahseder. Ek, son yük için indirici olarak çalışan yürütülebilir bir dosya içerir.

Google'ın Tehdit Analizi Grubu gerekli düzenlemeleri yaptı ve kimlik avı kampanyalarının hedef aldığı ülkelerdeki tüm kurum ve yetkilileri bilgilendirdi.