Rus Siber Casusluk Grubu, Hedefli Saldırılarda LitterDrifter USB Solucanını Kullanıyor

Gamaredon'un (diğer adıyla Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm ve Winterflounder) en son taktiklerini detaylandıran Check Point, grubu büyük ölçekli kampanyalara katılmakla suçladı ve bunu "seçimi muhtemelen casusluk hedefleri tarafından motive edilen belirli hedeflere yönelik veri toplama çabaları" izledi.

LitterDrifter solucanı iki ana özelliğe sahiptir: kötü amaçlı yazılımı bağlı USB sürücüler aracılığıyla otomatik olarak yaymak ve tehdit aktörünün komuta ve kontrol (C&C) sunucularıyla iletişim kurmak. Ayrıca, daha önce Symantec tarafından Haziran 2023'te açıklanan PowerShell tabanlı bir USB solucanının evrimi olduğundan şüpheleniliyor.

VBS'de yazılan yayıcı modülü, solucanı rastgele adlar atanmış bir tuzak LNK ile birlikte bir USB sürücüsünde gizli bir dosya olarak dağıtmaktan sorumludur. Kötü amaçlı yazılım, ilk düzenleme bileşeninin "çöp.dll" olarak adlandırılması nedeniyle LitterDrifter adını alır.

Check Point, "Gamaredon'un C&C'ye yaklaşımı oldukça benzersizdir, çünkü etki alanlarını aslında C2 sunucuları olarak kullanılan dolaşımdaki IP adresleri için bir yer tutucu olarak kullanır" dedi.

LitterDrifter ayrıca, tehdit aktörünün en azından yılın başından beri defalarca kullandığı bir taktik olan bir Telegram kanalından çıkarılan bir C&C sunucusuna da bağlanabiliyor.

Siber güvenlik firması, ABD, Vietnam, Şili, Polonya, Almanya ve Hong Kong'dan gelen VirusTotal gönderilerine dayanarak Ukrayna dışında olası enfeksiyon belirtileri tespit ettiğini söyledi.

Gamaredon bu yıl aktif bir varlık gösterdi ve saldırı yöntemlerini sürekli olarak geliştirdi. Temmuz 2023'te, tehdit aktörünün ilk uzlaşmadan sonraki bir saat içinde hassas bilgileri iletmesiyle birlikte, düşmanın hızlı veri sızdırma yetenekleri ortaya çıktı.

Şirket, "LitterDrifter'ın büyük ölçekli bir toplama operasyonunu desteklemek için tasarlandığı açık" dedi. "Bölgedeki mümkün olan en geniş hedeflere ulaşabilmesini sağlamak için basit ama etkili tekniklerden yararlanıyor."

Gelişme, Ukrayna Ulusal Siber Güvenlik Koordinasyon Merkezi'nin (NCSCC), İtalya, Yunanistan, Romanya ve Azerbaycan da dahil olmak üzere Avrupa'daki büyükelçilikleri hedef alan Rus devlet destekli bilgisayar korsanları tarafından düzenlenen saldırıları ortaya çıkarmasıyla geldi.

APT29'a (diğer adıyla BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard ve The Dukes) atfedilen izinsiz girişler, yakın zamanda açıklanan WinRAR güvenlik açığından (CVE-2023-38831) BMW'leri satışa sunduğunu iddia eden iyi huylu yemler aracılığıyla istismar edilmesini içeriyor.

Saldırı zinciri, kurbanlara, başlatıldığında Ngrok'ta barındırılan uzak bir sunucudan bir PowerShell komut dosyası almak için kusurdan yararlanan özel hazırlanmış bir ZIP dosyasına bağlantı içeren kimlik avı e-postaları göndermekle başlar.

NCSCC, "Rus istihbarat servisleri bilgisayar korsanlığı grupları tarafından CVE-2023-38831 güvenlik açığından yararlanma eğilimi, artan popülaritesini ve karmaşıklığını gösteriyor" dedi.

Bu haftanın başlarında, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Ukrayna Güvenlik Servisi'nden (SBU) olduğu iddia edilen bir PDF belgesi içeren kötü amaçlı RAR arşivlerini yayan bir kimlik avı kampanyasını ortaya çıkardı, ancak gerçekte Remcos RAT'ın konuşlandırılmasına yol açan bir yürütülebilir dosya.

CERT-UA, Şubat 2023'te Remcos RAT'ı teslim etmek için ülkedeki devlet yetkililerini hedef alan başka bir siber saldırı dalgasıyla da bağlantılı olan UAC-0050 takma adı altındaki faaliyeti takip ediyor.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği