Son aylarda artan Rus hükümeti destekli siber saldırılar devam ediyor, APT-28 Phishing ile Ukrayna Devlet Kurumlarını Hedef Alıyor
Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), ülkedeki çeşitli hükümet organlarını hedef alan Rus ulus devlet bilgisayar korsanlarının gerçekleştirdiği siber saldırılar konusunda uyardı.
Ajans, Phishing saldırısını Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit ve Sofacy adlarıyla da bilinen APT28’E bağladı.
E-posta iletileri “Windows Update” konu satırıyla birlikte gelir ve güvenlik güncelleştirmeleri bahanesiyle bir PowerShell komutunu çalıştırmak için Ukrayna dilinde talimatlar içerdiği iddia edilir.
Komut dosyasını çalıştırmak, tasklist ve systemınfo gibi komutlar aracılığıyla temel sistem bilgilerini toplamak ve ayrıntıları bir HTTP isteği aracılığıyla bir API’ye aktarmak için tasarlanmış bir sonraki aşama PowerShell komut dosyasını yükler ve yürütür.
İlginizi çekebilecek yazımız:
İlgili Yazı: Chatgpt İtalya’ya Geri Döndü
Hedefleri komutu çalıştırması için kandırmak için e-postalar, çalışanların gerçek adları ve baş harfleriyle oluşturulmuş sahte Microsoft Outlook e-posta hesaplarını kullanarak hedeflenen devlet kurumlarının sistem yöneticilerinin kimliğine büründü.
CERT-UA, kuruluşların kullanıcıların PowerShell komut dosyalarını çalıştırma ve ağ bağlantılarını Mocky API’sine izleme yeteneklerini kısıtlamalarını tavsiye ediyor.
Açıklamada, APT-28 phishing için keşif yapmak ve belirli hedeflere karşı kötü amaçlı yazılım dağıtmak için ağ donanımındaki yamalı güvenlik kusurlarından yararlanan saldırılara bağlanmasından haftalar sonra geldi.
Google’ın Tehdit Analizi Grubu (TAG), geçen ay yayınlanan bir belgesinde, siber korsanlar tarafından Ukrayna hükümeti web sitelerinin ziyaretçilerini kimlik avı alanlarına yönlendirmek için gerçekleştirilen bir kimlik bilgisi toplama işlemini ayrıntılarıyla anlattı.
Rus merkezli bilgisayar korsanlığı ekipleri, Avrupa’daki hükümete, ulaşıma, enerjiye ve askeri sektörlere yönelik izinsiz girişlerde Microsoft Outlook’ta (CVE-2023-23397, CVSS puanı: 9.8) kritik bir ayrıcalık yükseltme kusurunun kullanılmasıyla da bağlantılı.
Bu gelişme aynı zamanda Fortinet FortiGuard Labs’ın, Ukrayna’nın Energoatom’undan sözde açık kaynaklı saldırısı sonrası çerçeveyi sunma cazibesi olarak makro bağlantılı bir Word belgesinden yararlanan çok aşamalı bir kimlik avı saldırısını ortaya çıkarmasıyla da ortaya çıktı.
Siber güvenlik firması Recorded Future, bu yılın başlarında yayınlanan bir raporda, “Rus istihbaratının, ordusunun ve kolluk kuvvetlerinin siber suçlu tehdit aktörleriyle uzun süredir devam eden ve zımni bir anlayışa sahip olma olasılığı yüksek” dedi.
“Bazı durumlarda, bu kurumların siber suçlu tehdit aktörleriyle dolaylı işbirliği veya işe alım yoluyla yerleşik ve sistematik bir ilişki sürdürdükleri neredeyse kesin.”
Haber Kaynağı: The Hacker News