UAC-0099 LONEPAGE Kötü Amaçlı Yazılımıyla Ukraynalı Firmaları Hedeflemek için WinRAR İstismarını Kullanma
UAC-0099 olarak bilinen tehdit aktörü, Ukrayna'yı hedef alan devam eden saldırılarla ilişkilendirildi ve bunlardan bazıları, LONEPAGE adlı bir kötü amaçlı yazılım türü sunmak için WinRAR yazılımındaki yüksek önem derecesine sahip bir kusurdan yararlanıyor.
Siber güvenlik firması Deep Instinct Perşembe günü yaptığı bir analizde, "Tehdit aktörü, Ukrayna dışındaki şirketler için çalışan Ukraynalı çalışanları hedef alıyor" dedi.
UAC-0099 ilk olarak Haziran 2023'te Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından belgelendi ve casusluk amacıyla devlet kurumlarına ve medya kuruluşlarına yönelik saldırılarını detaylandırdı.
Saldırı zincirleri, HTA, RAR ve LNK dosya eklerini içeren kimlik avı mesajlarından yararlandı ve bu da keylogger'lar, hırsızlar ve ekran görüntüsü kötü amaçlı yazılımları gibi ek yükleri almak için bir komuta ve kontrol (C2) sunucusuyla iletişim kurabilen bir Visual Basic Script (VBS) kötü amaçlı yazılımı olan LONEPAGE'in dağıtılmasına yol açtı.
CERT-UA, "2022-2023 döneminde, söz konusu grup Ukrayna'daki birkaç düzine bilgisayara yetkisiz uzaktan erişim aldı" dedi.
Deep Instinct'in en son analizi, HTA eklerinin kullanımının üç farklı enfeksiyondan yalnızca biri olduğunu, diğer ikisinin LONEPAGE'i dağıtmak için WinRAR güvenlik açığından (CVE-2023-38831, CVSS puanı: 7.8) yararlanan kendi kendine açılan (SFX) arşivlerden ve bobby tuzaklı ZIP dosyalarından yararlandığını ortaya koyuyor.
İlkinde, SFX dosyası, kurbanı açmaya ikna etmek için Microsoft WordPad simgesini kullanırken mahkeme celbi için DOCX dosyası olarak gizlenmiş bir LNK kısayolu barındırır ve bu da LONEPAGE kötü amaçlı yazılımını bırakan kötü amaçlı PowerShell kodunun yürütülmesine neden olur.
Diğer saldırı dizisi, CVE-2023-38831'e duyarlı özel hazırlanmış bir ZIP arşivi kullanıyor ve Deep Instinct, WinRAR geliştiricilerinin hata için bir yama yayınlamasından üç gün sonra, 5 Ağustos 2023'te UAC-0099 tarafından oluşturulan bu tür iki eser buluyor.
Şirket, "UAC-0099" tarafından kullanılan taktikler basit ama etkili" dedi. "Farklı ilk enfeksiyon vektörlerine rağmen, çekirdek enfeksiyon aynıdır - PowerShell'e ve bir VBS dosyasını yürüten zamanlanmış bir görevin oluşturulmasına güvenirler."
Gelişme, CERT-UA'nın Remcos RAT olarak bilinen bir uzaktan erişim truva atını yaymak için ödenmemiş Kyivstar aidatları olduğunu iddia eden yeni bir kimlik avı mesajları dalgası konusunda uyarmasıyla geldi. Ajans, kampanyayı UAC-0050'ye bağladı.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı