Bu haberimizde Rus Hacker Grubu Gamaredon Ukrayna’yı Hedef Aldı! detaylarıyla paylaşacağız.
Ukrayna Devlet Siber Koruma Merkezi (SCPC), kamu makamlarına yönelik hedefli siber saldırıları ve ülkedeki kritik bilgi altyapıları hedef alması nedeniyle Gamaredon olarak bilinen Rus devletinin desteklediği hacker grubunu açıkladı.
Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, ve UAC-0010, 2013 yılına kadar uzanan Ukrayna vatandaşlarının bilgilerine sahip.
SCPC, “UAC-0010 grubunun devam eden etkinliği, virüslü ana bilgisayarlar üzerinde kontrolü devam ettirmek için kullanılan casus yazılım biliyoruz” dedi. “Şimdilik, UAC-0010 grubu saldırılarında GammaLoad ve GammaSteel casus yazılımlarını kullanıyor.”
GammaLoad, bir sonraki aşamadaki VBScript’i uzak bir sunucudan ele geçirmek üzere tasarlanmış bir VBScript üzerine kurulu kötü amaçlı yazılımdır. GammaSteel, keşif yapabilen ve ek komutlar yürütebilen bir PowerShell betiğidir.
Ajans, saldırıların amacının sabotajdan ziyade casusluk ve bilgi hırsızlığına yönelik olduğunu belirtti. SCPC ayrıca, kötü amaçlı yazılım araç setini radar altında kalacak şekilde yeniden geliştirerek grubun taktiklerinin “ısrarlı” gelişimini vurguladı ve Gamaredon’u “kilit bir siber tehdit” olarak açıkladı.”
Saldırı zincirleri, açıldığında beş ara aşamadan (bir LNK dosyası, bir HTA dosyası ve üç VBScript dosyası) oluşan uzun bir diziyi etkinleştiren ve sonunda bir PowerShell teslim edilmesiyle sonuçlanan bir RAR arşivi taşıyan phishing avı e-postalarıyla başlar.
Komuta ve kontrol (C2) sunucularının IP adresiyle ilgili bilgiler, geçen ayın sonlarında Blackberry’den gelen bir raporu doğrulayarak periyodik olarak döndürülen Telegram kanallarında yayınlandı.
SCPC başına analiz edilen tüm VBScript uzantıları ve PowerShell komut dosyaları, sırasıyla GammaLoad ve GammaSteel kötü amaçlı yazılımlarının benzerlerdir, düşman ülkenin hassas bilgileri ele geçirilmesine olanak tanıyor.
Açıklamada, Ukrayna Bilgisayar Acil Müdahale Ekibinin (CERT-UA) Ukrayna ve Polonya devlet yetkililerini hedef alan yeni bir kötü amaçlı phishing (oltalama) saldırılarını açıkladı.
Saldırılar, ziyaretçileri virüslü bilgisayarları tespit ettiğini iddia eden yazılımları indirmeleri için kandırmak amacıyla Ukrayna Dışişleri Bakanlığı, Ukrayna Güvenlik Servisi ve Polonya Polisinin (Policja) kimliğine bürünen benzer web sayfaları biçimini alıyor.
Ancak, dosyayı başlattıktan sonra – “Protector” adlı bir uzantı çalışmaya başlıyor daha sonra ” Ekran görüntülerini kaydederek ve iş istasyonundan 19 farklı uzantıya sahip dosyaları toplayabilen bir PowerShell komut dosyasının yürütülmesini sağlıyor.
Rusya’nın Şubat 2022’de Ukrayna’yı işgali, hedeflenen phishing saldırıları, kötü amaçlı yazılım saldırıları ve (DDoS) saldırılarıyla tamamlandı.
“Ukrayna-Rusya savaşı devam ederken, Ukrayna’ya enerji, hükümet ve ulaşım, altyapı, finans sektörü vb. Siber saldırılar devam ediyor. Trellix “saldırılar sürekli devam ediyor dedi.”
“Bu tür panik ve huzursuzluk zamanlarında saldırganlar, mağdurları hacklemeleri ve dikkatlerinin dağılmasından ve panikten yararlanmayı amaçlıyor.” dedi.
Gamaredon Ukrayna’yı Hedef Aldı! haberimizin sonuna geldik.
Türk Hack Team’in İsveç’in yaptığı siber saldırı haberini okumak için;
İlgili Yazı: Türk Hack Team İsveç’e Siber Savaş Açtı!
Kaynak: (thehackernews.com)