Rus devlet destekli hack grubu Gamaredon (diğer adıyla Armageddon veya Shuckworm), Ukrayna'nın askeri ve güvenlik istihbarat sektörlerindeki kritik organizasyonları hedeflemeye devam ediyor ve yenilenmiş bir araç seti ve yeni enfeksiyon taktikleri kullanıyor.
Daha önce, FSB ile bağlantılı olan Rus hackerlar, Ukrayna eyalet örgütlerine karşı bilgi sığınakçıları kullanılarak, "Pteranodon" kötü amaçlı yazılımlarının yeni varyantlarını kullanılarak ve ayrıca yeni enfeksiyonlar için varsayılan bir kelime şablonu korsanı kullanılarak gözlendi.
Symantec'in Broadcom'un bir parçası olan tehdit araştırma ekibi, bugün tehdit aktörlerinin yakın zamanda enfekte ağların içindeki ek sistemlere yayılmak için USB kötü amaçlı yazılımları kullanmaya başladığını bildiriyor.
Gamaredon'un en yeni kampanyasındaki bir diğer ilginç unsur, İK departmanlarını hedeflemektir ve potansiyel olarak tehdit aktörlerinin ihlal edilen kuruluşlar içindeki mızrak aktı saldırıları hedeflediğini göstermiştir.
Symantec'in analistleri, Gamaredon'un 2023 etkinliğinin Şubat ve Mart 2023 arasında arttığını bildirirken, bilgisayar korsanları Mayıs 2023'e kadar bazı uzlaşmış makinelerde varlığı sürdürmeye devam etti.
Gamaredon, ilk uzlaşma için kimlik avı e -postalarına güvenmeye devam ederken, hedefleri hükümet, askeri, güvenlik ve araştırma organizasyonlarını insan kaynakları departmanlarına odaklanıyor.
Kimlik avı e -postaları, açılırsa, saldırganın (C2) sunucusundan 'Pterodo' yükü indiren bir PowerShell komutunu başlatan RAR, DOCX, SFX, LNK ve HTA ekleri taşır.
Symantec, değişen seviyelerde şaşkınlık kullanarak ve statik algılama kurallarına direnmek için farklı Pterodo indirme IP adreslerine işaret ederek Ocak ve Nisan 2023 arasında 25 PowerShell komut dosyası var.
PowerShell kendisini enfekte edilmiş makineye kopyalar ve bir RTK.LNK uzantısı kullanarak bir kısayol dosyası oluşturur. Senaryo tarafından oluşturulan LNK'ler, bazıları kurbanın ilgisini çekmek için özel olarak seçilen çok çeşitli isimler alır:
Mağdur bu dosyaları başlattıktan sonra, PowerShell betiği bilgisayardaki tüm sürücüleri numaralandırır ve kendisini çıkarılabilir USB disklerine kopyalar ve ihlal edilen ağdaki başarılı yanal hareket olasılığını artırır.
Bu yıl Gamaredon tarafından tehlikeye atılan bazı makinelerde, Symantec'in analistleri, Base64 kodlu bir PowerShell betiği olan bir "Foto.safe" dosyası buldular.
Symantec, enfekte bir USB anahtarının cihaza takıldıktan sonra cihazın enfekte olduğunu söylüyor. Ancak, USB sürücüsünün ilk etapta nasıl enfekte olduğu belirsizdir.
Synantec, "Bu USB sürücüleri muhtemelen saldırganlar tarafından kurban ağlarında yanal hareket için kullanılıyor ve saldırganların hedeflenen kuruluşlar içindeki hava kapalı makinelere ulaşmasına yardımcı olmak için kullanılabilir."
Symantec, Gamaredon'un Ukrayna'ya lazer odaklı kalmasını bekliyor, araçlarını yenilemeye ve Rusya'nın askeri operasyonlarında yararlı olabilecek verileri hedefledikleri için saldırı taktiklerini zenginleştirmeye devam ediyor.
Koyu pembe bilgisayar korsanları govt ve askeri organizasyonları hedeflemeye devam ediyor
Microsoft, veri silme saldırılarını yeni Rus Gru Hacking Group'a bağlar
Ukraynalı hackerlar Rus bankaları için servis sağlayıcısını devralmak
Asylum Ambuscade hacker'ları siber suçları casuslukla karıştırın
Yeni 'PowerDrop' PowerShell kötü amaçlı yazılım hedefleri ABD havacılık endüstrisi
Kaynak: Bleeping Computer