Resim: Bing Image Creator
APT28 olarak izlenen ve Rusya Genel Personeli Ana İstihbarat Müdürlüğü'ne (GRU) bağlı bir tehdit grubu, devlet kuruluşları da dahil olmak üzere birden fazla Ukrayna kuruluşuna ait yuvarlak koda e -posta sunucularını ihlal etti.
Bu saldırılarda, siber-ihale grubu (Bluedelta, Fantezi Ayı, Sednit ve Sofacy olarak da bilinir), Rusya ve Ukrayna arasındaki alıcıları, yuvarlanmadan hacklemek için kötü niyetli e-postalardan yararlanacak kötü niyetli e-postalar açmaya yönelik devam eden çatışmalarla ilgili haberleri kaldırdı. sunucular.
E -posta sunucularını ihlal ettikten sonra, Rus askeri istihbarat bilgisayar korsanları, hedeflenen bireylerin gelen e -postalarını saldırganların kontrolü altındaki bir e -posta adresine yönlendiren kötü amaçlı komut dosyaları kullandı.
Bu senaryolar ayrıca keşif için ve kurbanların yuvarlak küme adres defteri, oturum çerezleri ve Roundcube'nin veritabanında depolanan diğer bilgileri çalmak için de kullanıldı.
Soruşturma sırasında toplanan kanıtlara dayanarak, Ukrayna'nın bilgisayar acil müdahale ekibi (CERT-UA) tarafından yürütülen ortak bir soruşturmaya göre, kampanyanın amacı Rusya'nın Ukrayna'yı istila etmek için askeri istihbarat hasat etmek ve çalmaktı. .
Bu saldırılarda APT28 askeri bilgisayar korsanları tarafından kullanılan altyapının kabaca Kasım 2021'den beri faaliyete geçtiği tahmin edilmektedir.
Inikt Grubu, "Bölgesel bir Ukrayna savcılığı ve merkezi bir Ukrayna Yürütme Kurumu'nu hedefleyen Bluedelta faaliyetini ve ek Ukrayna hükümet kuruluşlarını ve Ukrayna askeri uçak altyapısı yükseltmesi ve yenilemesinde yer alan bir kuruluş içeren keşif faaliyetlerini belirledik." Dedi.
"Analiz edilen Bluedelta Kimlik Avlama Kampanyası, çoklu keşif ve söndürme komut dosyalarını çalıştırmak için CVE-2020-35730, CVE-2020-12641 ve CVE-2021-44026'yı açık kaynaklı Webmail Yazılım Yuvarlak Küpünde kullanıyor."
Kayıtlı gelecek, bu kampanyanın, kullanıcı etkileşimi gerektirmeyen saldırılarda Avrupa organizasyonlarını hedeflemek için kritik bir Microsoft Outlook sıfır gün güvenlik açığı (CVE-2023-23397) kullandıklarında APT28'e bağlı önceki saldırılarla örtüştüğünü söylüyor.
Mağdurların ağları içinde yanal olarak taşınmaya yardımcı olan kimlik bilgilerini çalmak ve belirli hesaplar için e-postaları eklemek için Outlook Posta Kutusu klasör izinlerini değiştirmek için sıfır gün hatasını kullandılar.
Outlook kampanyasında, GRU bilgisayar korsanları Nisan ortası ile Aralık 2022 arasında yaklaşık 15 hükümet, askeri, enerji ve ulaşım kuruluşunun ağlarını ihlal etti.
Google'ın Tehdit Analiz Grubu, yakın zamanda 2023'ün ilk çeyreğinde Ukrayna'yı hedefleyen tüm kimlik avı e -postalarının yaklaşık% 60'ının Rus saldırganlar tarafından gönderildiğini ve APT28 hackleme grubunun bu kötü niyetli etkinliğe en önemli katkıda bulunanlardan biri olduğunu ortaya koydu.
Nisan 2023'te ABD ve İngiltere İstihbarat Hizmetleri, ABD ve AB tabanlı hedeflerden istihbarat hasatına yardımcı olan bir Jaguar diş kötü amaçlı yazılımını dağıtmak için Cisco yönlendiricilerindeki sıfır günlük bir kusurdan yararlanan APT28 saldırıları konusunda uyardı.
APT28, 2016 yılında (Demokratik Kongre Kampanya Komitesi (DCCC) ve Demokratik Ulusal Komite (DCC) 'nin (Demokratik Ulusal Komite (DCC) 2015'in 2015 hack'ine (Demokratik Ulusal Komite (DCC) saldırılarıyla da bilinir. iki yıl sonra).
Avrupa Birliği Konseyi, Ekim 2020'de 2015 Deutscher Bundestag'ın hackine katılımları için APT28 üyelerini yaptırım uyguladı.
Microsoft, veri silme saldırılarını yeni Rus Gru Hacking Group'a bağlar
Bilgisayar korsanları, Ukraynalı Hükümet'i hedeflemek için sahte 'Windows Update' kılavuzlarını kullanıyor
Ukraynalı hackerlar Rus bankaları için servis sağlayıcısını devralmak
FBI Nukes Rus Yılan Veri Hırsızlığı Kendi Kendini İrtifa Komutu ile Kötü Yazılım
Yeni CS: GO MAP, Rusya'nın Ukrayna Savaşı Haberleri Sansürü'nü atlıyor
Kaynak: Bleeping Computer