Ukrayna'nın bilgisayar acil müdahale ekibi (CERT-UA), UAC-0020 (Vermin) hackleme grubu tarafından Ukrayna Savunma Kuvvetleri'ne yapılan saldırılarda başlatılan "Sicksync" olarak adlandırılan yeni bir kampanya hakkında rapor veriyor.
Tehdit grubu, Rusya'nın Ekim 2022'den bu yana neredeyse bütünüyle işgal ettiği Luhansk Halk Cumhuriyeti (LPR) bölgesiyle bağlantılıdır. Hacker'ın faaliyetleri genellikle Rusya'nın çıkarlarıyla uyumludur.
Saldırı, Spectr adlı kötü amaçlı yazılımla birlikte meşru dosya senkronizasyon yazılımı senkronizasyonunu kullanır.
Vermin'in belirgin nedeni, askeri kuruluşlardan hassas bilgileri çalmaktır.
Saldırı, "turrel.fop.wolf.rar" adlı şifre korumalı bir RARSFX arşivi taşıyan hedefe gönderilen bir kimlik avı e-postasıyla başlar.
Dosyayı başlattıktan sonra bir PDF ("Wowchok.pdf"), bir yükleyici ("sync.exe") ve bir yarasa komut dosyası ("run_user.bat") çıkarır. BAT, gerekli kütüphanelerle birlikte senkronizasyon ve spektrum kötü amaçlı yazılım içeren Sync.exe'yi yürütür.
Senkronizasyon, belgeleri ve hesap şifrelerini çalmak için kullanılan veri senkronizasyonu için eşler arası bir bağlantı kurar.
Meşru araç, yeni dizin adları ve tanımlamadan kaçınmak için planlanan görevlerle değiştirilirken, etkin olduğunda bir pencereyi görüntüleyen bileşen kaldırıldı.
Spectr, aşağıdaki özelliklere sahip modüler bir kötü amaçlı yazılımdır:
Spektral ile çalınan veriler, '%AppData%\ Sync \ Servo_sync \' dizini içindeki alt klasörlere kopyalanır ve daha sonra tehdit oyuncusu sistemine senkronize ederek aktarılır.
CERT-UA, Vermin'in ağ trafiğini şüpheli olarak işaretleme olasılığını azaltmak için veri açığa çıkması için meşru bir araç kullanmaya karar verdiğine inanıyor.
Siber güvenlik ajansı, Syncthing'in altyapısıyla (örneğin, *.synthing.net) herhangi bir etkileşimin, bir sistemi ele almak ve enfeksiyonu tespit etmek ve kökünden sökmek için bir soruşturma başlatmak için yeterli olması gerektiğini not eder.
Rus Sandworm Hacker'ları Ukrayna'da 20 kritik kuruluşu hedef aldı
DDOS Saldırıları Seçimler Başlandıkça AB Siyasi Partilerini Hedef
Bilgisayar korsanları Phish Finance Orgs Truva Madenleri Klonu Kullanarak
Polonya, Rus askeri bilgisayar korsanlarının govt ağlarını hedeflediğini söylüyor
NATO ve AB, Rusya'nın Almanya'ya karşı siber saldırılarını kınadı, Çekya
Kaynak: Bleeping Computer