Cloud Atlas'ın Hedef Odaklı Kimlik Avı Saldırıları Rus Tarım ve Araştırma Şirketlerini Hedef Alıyor

Group-IB'nin bu yılın başlarında Rusya'dan resmi olarak ayrılmasından sonra kurulan bağımsız bir siber güvenlik şirketi olan F.A.C.C.T.'nin bir raporuna göre, hedefler arasında bir Rus tarımsal sanayi kuruluşu ve devlete ait bir araştırma şirketi yer aldı.

En az 2014'ten beri aktif olan Cloud Atlas, kaynağı bilinmeyen bir siber casusluk grubudur. Clean Ursa, Inception, Oxygen ve Red October olarak da adlandırılan tehdit aktörü, Rusya, Belarus, Azerbaycan, Türkiye ve Slovenya'yı hedef alan ısrarlı kampanyalarıyla tanınıyor.

Aralık 2022'de Check Point ve Positive Technologies, PowerShower olarak adlandırılan PowerShell tabanlı bir arka kapının yanı sıra aktör tarafından kontrol edilen bir sunucuyla iletişim kurabilen DLL yüklerinin dağıtılmasına yol açan çok aşamalı saldırı dizilerini ayrıntılı olarak açıkladı.

Başlangıç noktası, Cloud Atlas'ın Ekim 2018 gibi erken bir tarihte kullandığı bir teknik olan kötü amaçlı yüklerin yürütülmesini başlatmak için Microsoft Office'in Denklem Düzenleyicisi'ndeki altı yıllık bir bellek bozulması kusuru olan CVE-2017-11882'den yararlanan bir cazibe belgesi taşıyan bir kimlik avı mesajıdır.

Kaspersky, Ağustos 2019'da "Aktörün devasa hedef odaklı kimlik avı kampanyaları, hedeflerini tehlikeye atmak için basit ama etkili yöntemlerini kullanmaya devam ediyor" dedi. "Diğer birçok izinsiz giriş setinden farklı olarak Cloud Atlas, daha az ayrımcı olmak için son kampanyaları sırasında açık kaynaklı implantları kullanmayı seçmedi."

F.A.C.C.T., en son kill zincirini Positive Technologies tarafından tanımlanana benzer olarak tanımladı ve CVE-2017-11882'nin RTF şablon enjeksiyonu yoluyla başarılı bir şekilde kullanılması, gizlenmiş bir HTA dosyasını indirmekten ve çalıştırmaktan sorumlu kabuk kodunun önünü açtı. Postalar, popüler Rus e-posta hizmetleri Yandex Mail ve VK'nın Mail.ru'sinden geliyor.

Kötü amaçlı HTML uygulaması daha sonra, bilinmeyen bir VBS kodunu uzak bir sunucudan almaktan ve yürütmekten nihai olarak sorumlu olan Visual Basic Script (VBS) dosyalarını başlatır.

"Bulut Atlası grubu uzun yıllardır aktif, saldırılarının her yönünü dikkatlice düşünüyor," dedi Positive Technologies geçen yıl grup hakkında.

"Grubun araç seti yıllardır değişmedi - tek seferlik yük isteklerini kullanarak ve bunları doğrulayarak kötü amaçlı yazılımlarını araştırmacılardan gizlemeye çalışıyorlar. Grup, özellikle Microsoft Office'te olmak üzere meşru bulut depolama ve iyi belgelenmiş yazılım özelliklerini kullanarak ağ ve dosya saldırısı algılama araçlarından kaçınıyor."

Gelişme, şirketin Rusya'da bulunan en az 20 kuruluşun, Pupy RAT'ın değiştirilmiş bir versiyonu olan Decoy Dog kullanılarak ele geçirildiğini ve bunu Hellhounds adını verdiği gelişmiş bir kalıcı tehdit aktörüne atfettiğini söylemesiyle geldi.

Aktif olarak sürdürülen kötü amaçlı yazılım, düşmanın virüslü ana bilgisayarı uzaktan kontrol etmesine izin vermenin yanı sıra, telemetri verilerini Mastodon'daki "@lahat otomatik" bir hesaba iletmek için tasarlanmış bir komut dosyasıyla birlikte gelir.

Güvenlik araştırmacıları Stanislav Pyzhov ve Aleksandr Grigorian, "Decoy Dog'un ilk sürümündeki materyaller yayınlandıktan sonra, kötü amaçlı yazılım yazarları hem trafikte hem de dosya sisteminde tespit ve analizini engellemek için çok çaba sarf ettiler" dedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği