Siber Muhbir

En son etkinliğin ayrıntılarını paylaşan Google'ın Tehdit Analizi Grubu (TAG), saldırı zincirlerinin bulaşma dizisini tetiklemek için PDF'leri sahte belgeler olarak kullandığını söyledi. Yemler, kimliğe bürünme hesaplarından gönderilir.

Blue Callisto, BlueCharlie (veya TAG-53), Calisto (alternatif olarak Callisto olarak yazılır), Dancing Salome, Gossamer Bear, Star Blizzard (eski adıyla SEABORGIUM), TA446 ve UNC4057 adlarıyla da bilinen COLDRIVER'ın 2019'dan beri aktif olduğu ve çok çeşitli sektörleri hedeflediği biliniyor.

Buna akademi, savunma, devlet kurumları, STK'lar, düşünce kuruluşları, siyasi oluşumlar ve son zamanlarda savunma-sanayi hedefleri ve enerji tesisleri dahildir.

ABD hükümeti geçen ay yaptığı açıklamada, "İngiltere ve ABD'deki hedefler, Star Blizzard faaliyetlerinden en çok etkilenmiş gibi görünüyor, ancak diğer NATO ülkelerindeki ve Rusya'ya komşu ülkelerdeki hedeflere karşı da faaliyet gözlemlendi" dedi.

Grup tarafından düzenlenen hedef odaklı kimlik avı kampanyaları, kimlik bilgilerini toplamak ve hesaplara erişim elde etmek için sahte oturum açma sayfalarını paylaşma nihai hedefiyle potansiyel kurbanlarla etkileşim kurmak ve güven oluşturmak için tasarlanmıştır.

Microsoft, COLDRIVER'ın taktiklerinin bir analizinde, aktör tarafından kontrol edilen altyapının otomatik olarak taranmasını önlemek ve kimlik avı açılış sayfalarına yönlendirmeden önce ilgilenilen hedefleri belirlemek için sunucu tarafı komut dosyalarını kullandığını belirtti.

Google TAG'ın en son bulguları, tehdit aktörünün, hedefleri dosyaları açmaya ikna etmek için Kasım 2022'ye kadar başlangıç noktası olarak iyi huylu PDF belgeleri kullandığını gösteriyor.

Teknoloji devi, "COLDRIVER, bu belgeleri, kimliğe bürünme hesabının yayınlamak istediği ve hedeften geri bildirim isteyen yeni bir köşe yazısı veya başka bir makale türü olarak sunuyor" dedi. "Kullanıcı iyi huylu PDF'yi açtığında metin şifrelenmiş olarak görünür."

Alıcının belgeyi okuyamadığını belirten mesaja yanıt vermesi durumunda, tehdit aktörü bir bulut depolama hizmetinde barındırılan sözde bir şifre çözme aracına ("Proton-decrypter.exe") bir bağlantıyla yanıt verir.

"Proton-decrypter.exe" adının seçimi dikkat çekicidir, çünkü Microsoft daha önce düşmanın PDF yemlerini kimlik avı mesajları aracılığıyla göndermek için ağırlıklı olarak Proton Drive'ı kullandığını açıklamıştı.

Google TAG araştırmacıları, saldırıda kullanılan PDF belgesinin Proton Drive'da barındırıldığını ve saldırganların aracın bulut platformunda barındırılan dosyanın şifresini çözmek için kullanıldığını söylediğini söyledi.

Gerçekte, şifre çözücü, COLDRIVER'a makineye gizli erişim sağlayan ve aynı zamanda hileyi sürdürmek için sahte bir belge görüntüleyen SPICA adlı bir arka kapıdır.

WithSecure'un (eski adıyla F-Secure) önceki bulguları, tehdit aktörünün 2016'nın başlarında gözlemlenen kimlik avı kampanyalarının bir parçası olarak HackingTeam Uzaktan Kumanda Sistemi (RCS) Galileo bilgisayar korsanlığı platformundan bir kötü amaçlı yazılım aracı olan Scout adlı hafif bir arka kapı kullandığını ortaya çıkardı.

Finlandiyalı siber güvenlik şirketi, Scout'un "güvenliği ihlal edilmiş bir bilgisayardan temel sistem bilgilerini ve ekran görüntülerini toplamak ve ek kötü amaçlı yazılımların yüklenmesini sağlamak için ilk keşif aracı olarak kullanılması amaçlanıyor" dedi.

COLDRIVER tarafından geliştirilen ve kullanılan ilk özel kötü amaçlı yazılım olan SPICA, komut ve kontrol (C2) için WebSockets üzerinden JSON kullanır ve rastgele kabuk komutlarının yürütülmesini, web tarayıcılarından çerezlerin çalınmasını, dosyaların yüklenmesini ve indirilmesini ve dosyaların numaralandırılmasını ve sızdırılmasını kolaylaştırır. Kalıcılık, zamanlanmış bir görev aracılığıyla elde edilir.

Google TAG, "Yürütüldükten sonra, SPICA gömülü bir PDF'nin kodunu çözer, diske yazar ve kullanıcı için bir yem olarak açar" dedi. "Arka planda, kalıcılık kurar ve komutların yürütülmesini bekleyerek ana C2 döngüsünü başlatır."

Ulus devlet aktörünün implantı kullanımının Kasım 2022'ye kadar uzandığını ve siber güvenlik kolunun "şifreli" PDF cazibesinin birden fazla varyantını kullandığını gösteren kanıtlar var, bu da hedeflere gönderilen cazibe belgesiyle eşleşmek için SPICA'nın farklı versiyonlarının olabileceğini gösteriyor.

Google TAG, kampanyayı bozma ve daha fazla istismarı önleme çabalarının bir parçası olarak, bilgisayar korsanlığı ekibiyle ilişkili bilinen tüm web sitelerini, etki alanlarını ve dosyaları Güvenli Tarama engelleme listelerine eklediğini söyledi.

Google, SPICA ile başarılı bir şekilde ele geçirilen kurbanların sayısını göremediğini, ancak yalnızca "çok sınırlı, hedefli saldırılarda" kullanıldığından şüphelendiğini söyledi ve "STK'larda, eski istihbarat ve askeri yetkililerde, savunma ve NATO hükümetlerinde yüksek profilli kişilere" odaklanıldığını da sözlerine ekledi.

Gelişme, Birleşik Krallık ve ABD hükümetlerinin COLDRIVER'ın iki Rus üyesi Ruslan Aleksandrovich Peretyatko ve Andrey Stanislavovich Korinets'e hedef odaklı kimlik avı operasyonlarının yürütülmesine katılımları nedeniyle yaptırım uygulamasından bir aydan fazla bir süre sonra geldi.

Fransız siber güvenlik firması Sekoia, o zamandan beri Korinets ile düzinelerce kimlik avı alanı ve birden fazla sunucudan oluşan grup tarafından kullanılan bilinen altyapı arasındaki bağlantıları duyurdu.

Şirket, "Calisto, Moskova'nın stratejik çıkarlarını desteklemek için Rus istihbarat çabalarına katkıda bulunuyor" dedi. "Görünüşe göre alan adı kaydı, Rus istihbaratı tarafından doğrudan veya bir müteahhit ilişkisi yoluyla makul bir şekilde kullanılan [Korinets'in] ana becerilerinden biriydi."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.