Ukraynalı Bilgisayar Acil Müdahale Ekibi (CERT), Rus hackleme gruplarının Credomap kötü amaçlı yazılımlarını ve kobalt grev işaretlerini kurmak için yeni kimlik avı kampanyalarındaki Follina kodu yürütme kırılganlığından yararlandığını söyledi.
APT28 hackleme grubunun, "nükleer terörizm çok gerçek bir tehdit" kötü niyetli bir belge adı içeren e -postalar gönderdiğine inanılıyor. Tehdit aktörleri, bu e -postanın konusunu alıcıları açmaya ikna etmek için seçti ve Ukraynalılar arasında potansiyel bir nükleer saldırı hakkında yayılan korkuyu kullandı.
Tehdit aktörleri, Mayıs 2022'de CERT-UA'nın kimyasal bir saldırı hakkında uyarılmasını belirlediği Mayıs 2022'de de benzer bir taktik kullandı.
APT28 kampanyasında kullanılan RTF belgesi, bir hedefin cihazında Credomap kötü amaçlı yazılımını (DOCX.EXE) indirip başlatmak için CVE-2022-30190, yani "Follina" dan yararlanmaya çalışır.
Bu güvenlik açığı, en azından Nisan 2022'den beri vahşi doğada sömürülen, sadece bir belge dosyası açarak veya RTFS durumunda yalnızca Windows Önizleme bölmesinde görüntülenen kötü niyetli indirmeleri tetikleyen Microsoft Teşhis aracında bir kusurdur.
Credomap, virüs toplamı üzerinde birkaç AV motoru tarafından tespit edilen bilinmeyen bir kötü amaçlı yazılım suşudur ve çok sayıda satıcı onu şifre çalan bir truva atı olarak sınıflandırır.
Malwarebytes Today tarafından yayınlanan ilişkili bir raporda, güvenlik analistleri, yükün Mayıs ayında APT28'in Ukrayna hedeflerine karşı kullandığı bir info-stealer olduğunu açıklığa kavuşturuyor.
Kötü amaçlı yazılım, hesap kimlik bilgileri ve çerezler gibi Chrome, Edge ve Firefox web tarayıcılarında depolanan bilgileri çalmayı amaçlamaktadır.
Son olarak, kötü amaçlı yazılım, IMAP e-posta protokolünü kullanarak çalınan verileri ortaya çıkarır ve her şeyi terk edilmiş Dubai tabanlı bir sitede barındıran C2 adresine gönderir.
Dün bu kampanyayı keşfeden siber güvenlik araştırmacısı MalwarehunterTeam'e göre, kötü amaçlı yazılım sabit kodlu IMAP kimlik bilgileri kullanıyor ve potansiyel olarak herhangi bir araştırmacının çalınan verilere erişmesine izin veriyor.
CERT-UA, CVE-2022-30190 Sandworm Grubunun Rus hackerlarının geçen hafta sömürülmesi konusunda uyardı, ancak bu kez saldırılardan sorumlu tehdit aktörleri APT28 Grubu olarak tanımlandı.
APT28 (aka Strontium, Fantezi Bear ve Sofacy) siber casusluğa odaklanan bir Rus hack grubudur ve Rus hükümetiyle bağları olduğuna inanılmaktadır.
Grup 2007'den beri hükümetleri, askeri ve güvenlik kuruluşlarını hedefleyen aktif.
Yukarıdaki etkinliğe paralel olarak, CERT-UA, UAC-0098 olarak izlenen bir tehdit oyuncusu tarafından farklı bir kampanya tanımlamıştır, ayrıca hedefi minimal etkileşimle enfekte etmek için CVE-2022-30190 kullanarak.
Bu durumda, CERT-UA, tehdit oyuncusunun "Penaltıların Uygulanması" adlı bir DOCX dosyası kullandığını ve uzak bir kaynaktan getirilen yükün yakın tarihli bir derleme tarihine sahip bir Kobalt Strike Beacon (Ked.dll) olduğunu söylüyor.
Gönderilen e-postalar sözde Ukrayna Devlet Vergi Servisinden, "Vergi Ödeme Bildirimi" ile ilgilidir.
Ukrayna Rusya ile savaşta olduğundan ve birçok vatandaş doğal olarak devlete yönelik düzenli vergi ödeyen yükümlülüklerini ihmal ettiği için, cazibe bu durumda birçok insana karşı etkili olabilir.
CERT-UA, kritik kuruluşlardaki çalışanlara e-posta ile teslim edilen tehditlere karşı uyanık kalmalarını tavsiye eder, çünkü mızrak avcı saldırıları sayısı yüksek kalır.
Rus hackerlar Ukrayna'yı Follina istismarları ile hedeflemeye başladı
Ukrayna'da Kobalt Strike Dağıtmak İçin Kullanılan Sahte Antivirüs Güncellemeleri
Microsoft: Rusya, Ukrayna’nın müttefiklerine karşı siber saldırıları hızlandırdı
Yeni kimlik avı saldırısı, cihazları kobalt grevine bulaştı
Bilgisayar korsanları, kobalt grevini dağıtmak için üç yaşındaki Telerik kusurlarını sömürüyor
Kaynak: Bleeping Computer