Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Pro-Rus Hackerlar Winrar Açığı ile Fidye Saldırısı Yapıyor

Pro-Rus Hackerlar Winrar Açığı ile Fidye Saldırısı Yapıyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 5 dk okuma süresi
175 0
Pro-Rus Hackerlar Winrar Açığı 2

Pro-Rus Hackerlar Winrar Açığı ile Fidye Saldırısı Yapıyor

Rus yanlısı bilgisayar korsanlığı grupları, güvenliği ihlal edilmiş sistemlerden kimlik bilgilerini toplamak için tasarlanmış bir kimlik avı kampanyasının bir parçası olarak WinRAR arşivleme yardımcı programında yakın zamanda açıklanan bir güvenlik açığından yararlandı.

Cluster25, geçen hafta yayınlanan bir raporda, “Saldırı, 6.23’ten önceki WinRAR sıkıştırma yazılımı sürümlerini etkileyen ve CVE-2023-38831 olarak izlenen yakın zamanda keşfedilen güvenlik açığından yararlanan kötü amaçlı arşiv dosyalarının kullanılmasını içeriyor” dedi.

Arşiv, tıklandığında  saldırganın hedeflenen ana bilgisayara uzaktan erişmesini sağlayan bir ters kabuk açmak için PowerShell komutlarını başlatan bir Windows Toplu İş komut dosyasının yürütülmesine neden olan bubi tuzağına düşmüş bir PDF dosyası içerir.

İlginizi çekebilecek yazımız: Tryhackme Ollie Makine Çözümü

Ayrıca, Google Chrome ve Microsoft Edge tarayıcılarından oturum açma kimlik bilgileri de dahil olmak üzere verileri çalan bir PowerShell komut dosyası da dağıtılır. Yakalanan bilgiler meşru bir web hizmeti webhook[.]site

Pro-Rus Hackerlar Winrar Açığı

CVE-2023-38831, winrar’da saldırganların bir ZIP arşivinde iyi huylu bir dosyayı görüntülemeye çalıştıklarında rastgele kod yürütmelerine olanak tanıyan yüksek önemdeki bir kusuru ifade eder. Ağustos 2023’te Grup-ıb’den elde edilen bulgular, tüccarları hedef alan saldırılarda hatanın Nisan 2023’ten bu yana sıfır gün olarak silahlandırıldığını açıkladı.

Gelişmede , Google’ın sahip olduğu Mandiant’ın Rus ulus devlet aktörü APT29’UN 2023’ün ilk yarısında hız artışı ve Ukrayna’ya yapılan vurgunun ortasında diplomatik varlıkları hedef alan “hızla gelişen” kimlik avı operasyonlarını haritalandırmasıyla geldi.

Şirket, APT29’un takım ve ticaretindeki önemli değişikliklerin “operasyonların artan sıklığını ve kapsamını desteklemek ve adli analizi engellemek için tasarlandığını” ve “farklı operasyonlarda aynı anda çeşitli enfeksiyon zincirlerini kullandığını” söyledi.”

Dikkate değer değişikliklerden bazıları, ilk aşamadaki yükleri barındırmak için güvenliği ihlal edilmiş WordPress sitelerinin yanı sıra ek gizleme ve analiz önleme bileşenlerinin kullanımını içerir.

Bulut odaklı sömürüyle de bağlantılı olan APT29, geçen yılın başlarında savaşın başlamasının ardından Ukrayna’yı seçen Rusya kaynaklı birçok faaliyet kümesinden biri.

Pro-Rus Hackerlar Winrar Açığı

Temmuz 2023’te Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), Turla’yı, Ukrayna savunma varlıklarına yönelik casusluk saldırıları için Capibar kötü amaçlı yazılımını ve Kazuar arka kapısını dağıtan saldırılara dahil etti.

” Turla grubu, uzun bir faaliyet geçmişine sahip kalıcı bir düşmandır. Kökenleri, taktikleri ve hedeflerinin tümü, yüksek vasıflı çalışanlarla iyi finanse edilen bir operasyona işaret ediyor, “Trend Micro yakın tarihli bir raporda açıkladı. “Turla, araçlarını ve tekniklerini yıllar içinde sürekli geliştirdi ve muhtemelen bunları geliştirmeye devam edecek.”

Ukrayna siber güvenlik kurumları, geçen ay yayınlanan bir raporda, Kremlin destekli tehdit aktörlerinin, Rus askerlerinin işlediği savaş suçlarıyla ilgili Ukrayna soruşturmaları hakkında bilgi toplamak için iç kolluk kuvvetlerini hedef aldığını da ortaya koydu.

“2023’te en aktif gruplar UAC-0010 (Gamaredon / FSB), UAC-0056 (GRU), UAC-0028 (APT28/ GRU), UAC-0082 (Kum Kurdu / GRU), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29 / SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet), [ve] UAC-0107 (Siber Ordurusya),” Ukrayna Özel İletişim ve Bilgi Koruma Devlet Servisi (SSSCIP) dedi.

CERT-UA, 2023’ün H1’inde 27 “kritik” siber olay kaydederken, 2022’nin ikinci yarısında 144 ve 2022’nin ilk yarısında 319 oldu. Toplamda, operasyonları etkileyen yıkıcı siber saldırılar 518’den 267’ye düştü. 

Pro-Rus Hackerlar Winrar Açığı sıklıkça kullanmaya başladılar. 

Haber Kaynağı: The Hacker News

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir