CERT-UA Raporları: 11 Ukraynalı Telekom Sağlayıcısı Siber Saldırılardan Etkilendi
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), tehdit aktörlerinin Mayıs ve Eylül 11 arasında ülkedeki en az 2023 telekomünikasyon servis sağlayıcısına "müdahale ettiğini" ortaya çıkardı.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), tehdit aktörlerinin Mayıs ve Eylül 11 arasında ülkedeki en az 2023 telekomünikasyon servis sağlayıcısına "müdahale ettiğini" ortaya çıkardı.
Ajans, izinsiz girişlerin müşteriler için hizmet kesintilerine yol açtığını belirterek UAC-0165 adı altında faaliyeti izliyor.
Saldırıların başlangıç noktası, açıkta kalan RDP veya SSH arayüzlerini ve potansiyel giriş noktalarını belirlemek için bir telekom şirketinin ağının tarandığı bir keşif aşamasıdır.
CERT-UA, "Keşif ve sömürü faaliyetlerinin, özellikle internetin Ukrayna kesiminde bulunan daha önce güvenliği ihlal edilmiş sunuculardan gerçekleştirildiğine dikkat edilmelidir" dedi.
"Trafiği bu tür düğümler üzerinden yönlendirmek için Dante, SOCKS5 ve diğer proxy sunucuları kullanılıyor."
Saldırılar, kimlik bilgilerinin çalınmasını ve virüslü ana bilgisayarların uzaktan kontrolünü sağlayan POEMGATE ve POSEIDON adlı iki özel programın kullanılmasıyla dikkat çekiyor. Adli izi silmek için WHITECAT adlı bir yardımcı program yürütülür.
Dahası, sağlayıcının altyapısına kalıcı yetkisiz erişim, çok faktörlü kimlik doğrulama kullanılarak korunmayan normal VPN hesapları kullanılarak gerçekleştirilir.
Başarılı bir ihlali, ağ ve sunucu ekipmanlarını, özellikle Mikrotik ekipmanlarını ve veri depolama sistemlerini devre dışı bırakma girişimleri takip eder.
Gelişme, ajansın Ekim 0006'ün ilk haftasında SmokeLoader kötü amaçlı yazılımını kullanarak UAC-2023 grubu olarak izlediği bir bilgisayar korsanlığı ekibi tarafından gerçekleştirilen dört kimlik avı dalgasını gözlemlediğini söylemesinin ardından geldi.
CERT-UA, "Meşru güvenliği ihlal edilmiş e-posta adresleri e-posta göndermek için kullanılıyor ve SmokeLoader PC'lere çeşitli şekillerde teslim ediliyor" dedi.
"Saldırganların amacı, kimlik doğrulama verilerini (oturum açma, şifre, anahtar/sertifika) çalmak ve/veya yetkisiz ödemeler göndermek için uzak bankacılık sistemlerindeki finansal belgelerin ayrıntılarını değiştirmek için muhasebecilerin bilgisayarlarına saldırmaktır."
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı