Rus devlet destekli hackleme grubu 'APT29' (diğer adıyla Nobelium, pelerinli Ursa), kötü amaçlı yazılım sunan kötü niyetli bağlantıları tıklamak için Ukrayna'daki diplomatları ikna etmek için araba listeleri gibi alışılmadık yemleri kullanıyor.
APT29, Rus hükümetinin Dış İstihbarat Servisi (SVR) ile bağlantılıdır ve dünyanın dört bir yanındaki yüksek faizli kişileri hedefleyen çok sayıda siber sorumluluk kampanyasından sorumludur.
Son iki yılda, Rus hackerlar NATO, AB ve Ukrayna hedeflerine odaklandılar, kimlik avı e -postalarını ve dış politika konularıyla belgeleri kullanarak, hedeflerini gizli arka kapılarla enfekte etmek için sahte web siteleri.
Bugün Palo Alto Network'ün Unit 42 ekibi tarafından yayınlanan bir rapor, APT29'un kimlik avı taktiklerini, kimlik avı e -posta alıcısına daha kişisel olan yemleri kullanarak geliştirdiğini açıklıyor.
Mayıs 2023'te başlayan ünite 42 tarafından tespit edilen en son APT29 operasyonlarından birinde, tehdit aktörleri Ukrayna'nın başkenti KYIV'deki diplomatları hedeflemek için bir BMW otomobil reklamı kullanıyor.
Satış broşürü, Diplomat'ın e -posta adreslerine gönderildi ve iki hafta önce Ukrayna'dan ayrılmaya hazırlanan bir Polonya diplomatıyla dolaşan meşru bir araba satışını taklit etti.
Alıcılar kötü amaçlı belgeye gömülü "daha yüksek kaliteli fotoğraflar" bağlantısını tıkladıklarında, HTML kaçakçılığı yoluyla kötü niyetli ISO dosya yükleri ileten bir HTML sayfasına yönlendirilir.
HTML kaçakçılığı, HTML5 ve JavaScript kullanan kimlik avı kampanyalarında, bir HTML eki veya web sayfasındaki kodlanmış dizelerde kötü niyetli yükleri gizlemek için kullanılan bir tekniktir. Bu dizeler daha sonra bir kullanıcı eki açtığında veya bir bağlantıyı tıkladığında bir tarayıcı tarafından kodlanır.
Bu tekniği kullanmak, kötü amaçlı kod gizlendiği ve yalnızca tarayıcıda oluşturulmada kod çözüldüğünden güvenlik yazılımından kaçmaya yardımcı olur.
ISO dosyası, dokuz PNG görüntüsü gibi görünen şeyleri içerir, ancak gerçekte, aşağıdaki şemada gösterilen enfeksiyon zincirini tetikleyen LNK dosyalarıdır.
Mağdur, PNG görüntüleri olarak poz veren LNK dosyalarından herhangi birini açtığında, bellekteki geçerli işleme kabuk kodunu enjekte etmek için DLL yan yüklemesini kullanan meşru bir yürütülebilir ürün başlatırlar.
Ünite 42, bu kampanyanın ABD, Kanada, Türkiye, İspanya, Hollanda, Yunanistan, Estonya ve Danimarka dahil olmak üzere Kiev'deki 80 yabancı görevden en az 22'sini hedeflediğini bildiriyor. Ancak, enfeksiyon oranı bilinmemektedir.
Kötü niyetli broşürü alan e -posta adreslerinin yaklaşık% 80'i çevrimiçi olarak halka açık bir şekilde mevcuttu, APT29 ise hesap uzlaşma ve istihbarat toplama yoluyla diğer% 20'yi tedarik etmiş olmalıdır.
APT29'un kimlik avı için gerçek dünya olaylarından yararlanmaya hazır olmasının bir başka örneği, 2023 yılının başlarında Türk Dışişleri Bakanlığı'na (MFA) gönderilen ve Şubat ayında Güney Türkiye'nin Güney Türkiye'ye giren deprem için insani yardıma rehberlik ettiği bir PDF'dir.
Ünite 42, kötü niyetli PDF'nin muhtemelen MFA çalışanları arasında paylaşıldığını ve saldırı mükemmel zamanlamadan yararlandığı için diğer Türk örgütlerine iletildiğini yorumlıyor.
Ukrayna'daki çatışma devam ettikçe ve NATO'daki gelişen gelişmeler jeopolitik manzarayı değiştirmekle tehdit ettikçe, Rus siber casusluk gruplarının diplomatik görevleri hedefleme çabalarını devam ettirmesi ve hatta yoğunlaştırması bekleniyor.
Bilgisayar korsanları SMUGX kampanyasında Avrupa hükümet kuruluşlarını hedefleyin
CISA, Govt ajanslarına Rus hackerlar tarafından sömürülen böcekleri yamaya sipariş ediyor
Rus APT28 Hackerlar İhlali Ukraynalı Govt E -posta Sunucuları
Asylum Ambuscade hacker'ları siber suçları casuslukla karıştırın
Kimlik avı, kötü amaçlı yazılım ve fidye yazılımlarına karşı AI tabanlı bir krom uzantısı
Kaynak: Bleeping Computer