Rus Bilgisayar Korsanları Avrupa, Amerika Ve Asya'daki Diplomatik Kuruluşlara Saldırısı

Devlet destekli bir Rus bilgisayar korsanlığı grubunun, geçenlerde aşağıdaki bölgelerde çeşitli diplomatik ve devlet kurumlarına saldırdığı gözlemlenmiştir:

• Avrupa
• Amerika
• Asya

Bu saldırı, 17 Ocak 2022'de başlatılan bir dizi kimlik avı kampanyasının bir parçasıdır. APT29 (aka Cozy Bear, Dukes ve Yttrium) adlı bir bilgisayar korsanlığı grubu, tehdit istihbaratı ve olay müdahale firması Mandiant'ın saldırılarına bağlandı.

Rus Dış İstihbarat Servisi'nin APT29'a sponsor olduğuna inanılıyor ve SolarWinds Cyberattack 2020 sırasında siber suçlular yüzlerce kuruluşa nüfuz edebildi ve yüzlerce ihlale yol açtı.

İşte Mandiant'ın raporunda belirttiği şey:

"Spear-phishing, dünyanın dört bir yanındaki hükümetlerden diplomatik veriler ve dış politika bilgileri elde etmeyi amaçlayan APT29'un en son kimlik avı saldırıları dalgasıdır."

İlk Erişim

APT29'un, kurbanın ortamına erişmek için elçilik idari güncellemeleri olarak gizlenmiş mızrak kimlik avı e-postaları gönderdiğine inanılmaktadır. Bu kimlik avı e-postaları, meşru olan ancak kötü niyetli bilgisayar korsanları tarafından ele geçirilmiş diğer diplomatik kuruluşlardan gelen e-postaları kullanıyordu.

Siber güvenlik firması Mandiant, APT29'un elçilik personeli tarafından iletişim noktaları olarak halka açık olarak listelenen büyük alıcı listelerini hedef aldığından şüpheleniyordu.

Tüm bu kimlik avı e-postalarında, tehdit aktörleri tarafından kötü amaçlı HTML kodunu düşürmek için kullanılabilecek ROOTSAW olarak bilinen bir HTML damlalığı vardı. Burada, bir IMG veya ISO dosyası, tehdit aktörleri tarafından HTML kaçakçılığı yoluyla bir kurban sistemine teslim edilir.

ROOTSAW bulaşmış bir bilgisayar sistemi, açılır açılmaz BEATDROP adlı bir indiriciyi çalıştıracak bir enfeksiyon dizisi başlatan bir işlem tarafından istila edilecektir.

Kimlik avı zinciri

BEATDROP, uzak bir masaüstü üzerinden erişilebilen uzak bir komuta ve kontrol sunucusundan kötü amaçlı yazılım almayı amaçlayan C dilinde yazılmış bir yazılım parçasıdır.

Saldırganlar bunu, kurban verilerini depolamak ve AES ile şifrelenen ve daha sonra kurban girişi üzerine yürütülen kabuk kodu yüklerini elde etmek için Atlassian'ın Trello hizmetinden yararlanarak başarırlar.

Ek olarak, APT29 operatörleri çevrede bir yer edinmek için BOOMMIC (VaporRage olarak da bilinir) adlı bir araç kullandılar.

Tehdit aktörü, Şubat 2022'de gözlemlenen C ++ tabanlı bir yükleyici olan BEACON lehine BEATDROP'tan uzaklaşıyor ve bunun Şubat 2022'de gözlemlenen sonraki bir operasyonel değişimin sonucu olduğu düşünülüyor.

Cobalt Strike, C veya C ++ ile yazılmış bir program olan BEACON sayesinde birkaç temel yeteneği kolaylaştıran bir çerçevedir ve burada aşağıda tüm yeteneklerden bahsettik:

• Rastgele komut yürütme
• Dosya aktarımı
• Ekran görüntüleri yakalama
• Keylogging

Ayrıca bulguların, Microsoft tarafından yayınlanan ve Nobelium'un BT firmalarını ihlal etme girişimlerini de bildiren özel bir raporla da ilişkili olduğu belirtilmelidir.

Görünen o ki tüm bu bilişim firmaları öncelikle NATO üyesi ülkelerin devlet müşterilerine hizmet veriyor. Ancak burada bilgisayar korsanları bu Batılı dış politika kuruluşlarından bilgi alıp kendi amaçları için kullanıyorlar.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.