Rus devlet destekli hack grubu Gamaredon (diğer adıyla “shuckworm”) Ukrayna'daki bir Batı ülkesinin askeri misyonunu, çıkarılabilir sürücülerden dağıtılan saldırılarda hedefliyor.
Symantec Tehdit Araştırmacıları, kampanyanın Şubat 2025'te başladığını ve Mart ayına kadar devam ettiğini ve bilgisayar korsanlarının verileri dışarı atmak için Gammasteel Info-Info-Issouring kötü amaçlı yazılımlarının güncellenmiş bir sürümünü kullandığını söyledi.
Rapora göre, enfekte olmuş sistemlere ilk erişim, muhtemelen GameRon'un geçmişte kullandığı bir vektör olan kötü niyetli .lnk dosyaları içeren çıkarılabilir sürücüler yoluyla elde edildi.
Araştırmacılar, VBS komut dosyalarından PowerShell tabanlı araçlara geçiş, yükler için daha fazla şaşkınlık ve kaçınma için meşru hizmetlerin artması da dahil olmak üzere tehdit oyuncunun taktiklerinde bir değişikliğe dikkat çekiyor.
Soruşturma sırasında, araştırmacılar uzlaşılan sistemin Windows kayıt defterinde, kullanıcısist anahtarı altında yeni bir değer fark ettiler, bu da enfeksiyonun files.lnk adlı bir kısayol dosyasından harici bir sürücüden başladığını gösterdi.
Ardından, yoğun bir şekilde gizlenmiş bir komut dosyası iki dosya oluşturur ve çalıştırır. İlk işler komut ve kontrol (C2) iletişimini, meşru hizmetleri kullanarak sunucu adresini çözmek ve CloudFlare korumalı URL'lere bağlanır.
İkinci dosya, LNK dosyalarını kullanarak diğer çıkarılabilir ve ağ sürücülerini enfekte etmek için yayma mekanizmasını işlerken, aynı zamanda bazı klasörleri ve sistem dosyalarını uzlaşmayı gizlemek için gizler.
Ardından, Gamaredon, enfekte olmuş cihazın ekran görüntülerini yakalayabilen ve dışarı açabilecek ve yüklü antivirüs araçları, dosyaları ve çalıştırma işlemleri hakkında bilgi toplayabilen bir keşif PowerShell betiği kullandı.
Gözlemlenen saldırılarda kullanılan son yük, Gammasteel'in Windows kayıt defterinde saklanan PowerShell tabanlı bir sürümüdür.
Kötü amaçlı yazılım, Gamaredon’un casuslukla devam eden ilgisini doğrulayan masaüstü, belgeler ve indirmeler gibi çeşitli yerlerden belgeleri (.doc, .pdf, .xls, .txt) çalabilir.
Nihayetinde, kötü amaçlı yazılım, dosyaları karma ve PowerShell Web isteklerini kullanarak söndürmek için "certutil.exe" kullanır. Eksfiltrasyon başarısız olursa, Gamaredon çalınan verileri aktarmak için Tor üzerinden Curl kullanır.
Son olarak, hedef bilgisayarda kalıcılık oluşturmak için ‘HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run’a yeni bir anahtar eklenir.
Son Gamaredon kampanyası, tehdit grubunun diğer Rus devlet aktörlerine kıyasla sınırlı karmaşıklığına rağmen operasyonel gizliliği ve etkinliği artırma çabasını yansıtıyor.
Symantec, tehdit grubunun TTP'lerinde (taktikler, teknikler ve prosedürler) çeşitli artımlı ama anlamlı gelişmelerin, özellikle Gamaredon'un değişmez azimini göz önünde bulundurarak, Batı ağlarına getirdiği riskleri artırdığını söylüyor.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.
Rus askeri bilgisayar korsanları Ukrayna'da kötü niyetli pencereler kullanıyor
Microsoft, Ocak Windows güncellemelerinin neden olduğu baskı sorunlarını düzeltir
Cyberattack, Ukrayna Devlet Demiryolunun Çevrimiçi Hizmetlerini Aldı
Ukrayna ordusu yeni sinyal mızrak avı saldırılarını hedef aldı
Microsoft: Son Windows güncellemeleri USB yazıcılarının rastgele metin yazdırmasını sağlıyor
Kaynak: Bleeping Computer