Siber Muhbir

Rus yanlısı bilgisayar korsanlığı grupları, güvenliği ihlal edilmiş sistemlerden kimlik bilgilerini toplamak için tasarlanmış bir kimlik avı kampanyasının parçası olarak WinRAR arşivleme yardımcı programında yakın zamanda açıklanan bir güvenlik açığından yararlandı.

Cluster6, geçen hafta yayınlanan bir raporda, "Saldırı, 23.2023'ten önceki WinRAR sıkıştırma yazılımı sürümlerini etkileyen ve CVE-38831-25 olarak izlenen yakın zamanda keşfedilen güvenlik açığından yararlanan kötü amaçlı arşiv dosyalarının kullanımını içeriyor" dedi.

Arşiv, tıklandığında bir Windows Batch komut dosyasının yürütülmesine neden olan ve saldırganın hedeflenen ana bilgisayara uzaktan erişimini sağlayan bir ters kabuk açmak için PowerShell komutlarını başlatan bubi tuzaklı bir PDF dosyası içerir.

Ayrıca, Google Chrome ve Microsoft Edge tarayıcılarından oturum açma kimlik bilgileri de dahil olmak üzere verileri çalan bir PowerShell betiği de dağıtılır. Yakalanan bilgiler, meşru bir web hizmeti web kancası aracılığıyla sızdırılır.

CVE-2023-38831, WinRAR'da saldırganların bir ZIP arşivindeki iyi huylu bir dosyayı görüntülemeye çalıştıklarında rastgele kod yürütmesine izin veren yüksek önem derecesine sahip bir kusuru ifade eder. Group-IB'nin Ağustos 2023'teki bulguları, hatanın Nisan 2023'ten bu yana tüccarları hedef alan saldırılarda sıfır gün olarak silah haline getirildiğini ortaya koydu.

Gelişme, Google'ın sahibi olduğu Mandiant'ın, Rus ulus devlet aktörü APT29'un 2023'ün ilk yarısında Ukrayna'ya yapılan vurgunun temposundaki artış ve vurgunun ortasında diplomatik kuruluşları hedef alan "hızla gelişen" kimlik avı operasyonlarını haritalandırmasıyla geldi.

Şirket, APT29'un araç ve ticaretindeki önemli değişikliklerin "muhtemelen operasyonların artan sıklığını ve kapsamını desteklemek ve adli analizi engellemek için tasarlandığını" ve "farklı operasyonlarda aynı anda çeşitli enfeksiyon zincirlerini kullandığını" söyledi.

Dikkate değer değişikliklerden bazıları, birinci aşama yüklerin yanı sıra ek gizleme ve analiz önleme bileşenlerini barındırmak için güvenliği ihlal edilmiş WordPress sitelerinin kullanımını içerir.

Bulut odaklı istismarla da bağlantılı olan AT29, geçen yılın başlarında savaşın başlamasının ardından Ukrayna'yı seçen Rusya kaynaklı birçok faaliyet kümesinden biri.

Temmuz 2023'te Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Turla'yı Capibar kötü amaçlı yazılımını ve Ukrayna savunma varlıklarına yönelik casusluk saldırıları için Kazuar arka kapısını dağıtan saldırılara dahil etti.

"Turla grubu, uzun bir faaliyet geçmişine sahip ısrarcı bir düşmandır. Kökenleri, taktikleri ve hedefleri, yüksek vasıflı operatörlerle iyi finanse edilen bir operasyona işaret ediyor," diye açıkladı Trend Micro yakın tarihli bir raporda. "Turla, araçlarını ve tekniklerini yıllar içinde sürekli olarak geliştirdi ve muhtemelen bunları geliştirmeye devam edecek."

Ukraynalı siber güvenlik ajansları, geçen ay yayınladıkları bir raporda, Kremlin destekli tehdit aktörlerinin, Rus askerleri tarafından işlenen savaş suçlarına ilişkin Ukrayna soruşturmaları hakkında bilgi toplamak için yerel kolluk kuvvetlerini hedef aldığını da ortaya koydu.

Ukrayna Özel İletişim ve Bilgi Koruma Devlet Servisi (SSSCIP), "2023'te en aktif gruplar UAC-0010 (Gamaredon/FSB), UAC-0056 (GRU), UAC-0028 (APT28/GRU), UAC-0082 (Sandworm/GRU), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29/ SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet), [ve] UAC-0107 (CyberArmyofRussia)" dedi.

CERT-UA, 27'nin ikinci yarısında 1 ve 2023'nin ilk yarısında 144'a kıyasla 2022'ün 319. çeyreğinde 2022 "kritik" siber olay kaydetti. Toplamda, operasyonları etkileyen yıkıcı siber saldırılar 518'den 267'ye düştü.