Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), Rus hackerların ülkedeki çeşitli hükümet organlarını, siber saldırılara karşı bir savunma olarak nasıl güncelleneceğine dair talimatlar içeren kötü niyetli e-postalarla hedeflediklerini söylüyor.
CERT-UA, Rus devlet destekli hackleme grubunun APT28'in (fansta ayı olarak da bilinir), hedeflerini kandırmayı kolaylaştırmak için hedeflenen hükümet kuruluşlarının bu e-postaları ve kimliğe bürünmüş sistem yöneticilerini gönderdiğine inanıyor.
Bu amaçla, saldırganlar, saldırının hazırlık aşamalarında bilinmeyen yollarla elde edilen gerçek çalışan adlarını kullanarak @outlook.com e -posta adreslerini oluşturdular.
Windows sistemlerini yükseltme konusunda meşru talimatlar yerine, kötü niyetli e -postalar alıcılara bir PowerShell komutu çalıştırmalarını tavsiye eder.
Bu komut, bilgisayardan bir PowerShell komut dosyasını indirir ve arka planda ikinci bir PowerShell yükünü indirirken bir Windows güncelleme işlemini simüle eder.
İkinci aşama yükü, 'görev listesi' ve 'SystemInfo' komutlarını bir HTTP isteği aracılığıyla bir Mocky Hizmet API'sına gönderme komutlarını kötüye kullanan temel bir bilgi hasat aracıdır.
Mocky, kullanıcıların APT28'in bu durumda veri açığa çıkması için istismar edilen özel HTTP yanıtları oluşturmasına yardımcı olan meşru bir uygulamadır.
CERT-UA, sistem yöneticilerinin PowerShell'i kritik bilgisayarlarda başlatma ve Mocky Hizmet API'sına bağlantılar için ağ trafiğini izleme yeteneğini kısıtlamasını önerir.
Google'ın tehdit analiz grubu son zamanlarda 2023'ün ilk çeyreğinde Ukrayna'yı hedefleyen tüm kimlik avı e -postalarının yaklaşık% 60'ının Rus tehdit aktörlerinden kaynaklandığını ve APT28'i bu kötü niyetli faaliyete önemli bir katkıda bulunduğunu vurguladı.
Ayın başlarında, ABD ve İngiltere İstihbarat Hizmetleri ve Cisco, APT28'in ABD ve AB tabanlı hedeflerden istihbarat toplamak için 'Jaguar Tooth' adlı bir kötü amaçlı yazılım dağıtması için şirketin yönlendiricilerini etkileyen sıfır günlük bir kusuru aktif olarak sömürdüğü konusunda uyardı.
Mart 2023'te Microsoft, APT28'in Nisan 2022'den bu yana Avrupa hükümeti, askeri, enerji ve ulaşım organizasyonlarını ihlal etmek için sömürdüğü CVE-2023-23397 olarak izlenen bir görünüm sıfır gün güvenlik açığı yamaladı.
İlginç bir şekilde, Çinli bilgisayar korsanları, geçen yıl Rus hükümet kurumlarına yönelik saldırılarda kötü niyetli yürütülebilir ürünler bırakmak için bir cazibe olarak Windows güncellemelerini kullandı.
Ukraynalı Ruslara 300 metrelik veri sattığı için tutuklandı
Windows 11 KB5025305 Öncelikli Windows Güncellemeleri Ayarı Ekler
Google: Ukrayna, 2023'te Rus kimlik avı saldırılarının% 60'ını hedef aldı
US, İngiltere, Cisco yönlendiricilerinde özel kötü amaçlı yazılım kullanarak Govt Hacker'ları uyarıyor
Rusya, NATO'yu 2022'den beri 5.000 siber saldırı başlatmakla suçluyor
Kaynak: Bleeping Computer