CERT-UA, OCEANMAP, MASEPIE, STEELHOOK Dağıtan Yeni Kötü Amaçlı Yazılım Dalgasını Ortaya Çıkardı
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), hassas bilgileri toplamak için OCEANMAP, MASEPIE ve STEELHOOK gibi daha önce belgelenmemiş kötü amaçlı yazılımları dağıtmak için Rusya bağlantılı APT28 grubu tarafından düzenlenen yeni bir kimlik avı kampanyası konusunda uyardı.
Ajans tarafından 15-25 Aralık 2023 tarihleri arasında tespit edilen etkinlik, alıcıları bir belgeyi görüntülemek için bir bağlantıya tıklamaya çağıran e-posta mesajlarıyla Ukrayna devlet kurumlarını ve Polonya kuruluşlarını hedef aldı.
Ancak, tam tersine, bağlantılar, MASEPIE olarak bilinen yeni bir kötü amaçlı yazılım için bir bulaşma zincirini etkinleştirmek üzere PowerShell komutlarını başlatan bir Windows kısayol dosyasını (LNK) bırakmak için JavaScript'i ve "search-ms:" URI protokol işleyicisini kötüye kullanan kötü amaçlı web kaynaklarına yönlendirir.
MASEPIE, TCP protokolünü kullanarak şifreli bir kanal üzerinden gerçekleşen komut ve kontrol (C2) sunucusuyla iletişim ile dosya indirmek/yüklemek ve komutları yürütmek için Python tabanlı bir araçtır.
Saldırılar, web tarayıcısı verilerini toplayabilen ve bunları Base64 kodlu biçimde aktör tarafından kontrol edilen bir sunucuya aktarabilen STEELHOOK adlı bir PowerShell komut dosyası da dahil olmak üzere ek kötü amaçlı yazılımların dağıtılmasının önünü açıyor.
Ayrıca, cmd.exe kullanarak komutları yürütmek için tasarlanmış OCEANMAP adlı C# tabanlı bir arka kapı da teslim edilir.
CERT-UA, "IMAP protokolü bir kontrol kanalı olarak kullanılıyor" dedi ve Windows Başlangıç klasöründe "VMSearch.url" adlı bir URL dosyası oluşturularak kalıcılık sağlandığını da sözlerine ekledi.
"Base64 kodlu biçimdeki komutlar, ilgili e-posta dizinlerinin 'Taslaklarında' bulunur; taslakların her biri bilgisayarın adını, kullanıcının adını ve işletim sisteminin sürümünü içerir. Komutların sonuçları gelen kutusu dizininde saklanır."
Ajans ayrıca, keşif ve yanal hareket faaliyetlerinin Impacket ve SMBExec gibi araçlardan yararlanarak ilk uzlaşmadan sonraki bir saat içinde gerçekleştirildiğine dikkat çekti.
Açıklama, IBM X-Force'un APT28'in HeadLace adlı özel bir arka kapının teslimini kolaylaştırmak için devam eden İsrail-Hamas savaşıyla ilgili yemleri kullandığını ortaya çıkarmasından haftalar sonra geldi.
Son haftalarda, üretken Kremlin destekli bilgisayar korsanlığı grubu, Exchange sunucularındaki kurbanların hesaplarına yetkisiz erişim elde etmek için Outlook e-posta hizmetinde (CVE-2023-23397, CVSS puanı: 9.8) şu anda yamalanmış kritik bir güvenlik açığından yararlanılmasıyla da ilişkilendirildi.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi