Ukrayna'nın bilgisayar acil müdahale ekibi, tehdit aktörlerinin Kobalt grevini ve diğer kötü amaçlı yazılımları yükleyen sahte Windows Antivirus güncellemelerini dağıttıklarını uyarıyor.
Kimlik avı e-postaları, Ukrayna Devlet kurumlarını, ağ güvenliğini arttırmanın ve alıcıların "BitDefenderwindowsupdatepackage.exe" adlı 60 MB dosyası biçiminde gelen "kritik güvenlik güncelleştirmelerini" indirmelerini tavsiye etmelerinin yollarını sunar.
Bir kurban indirildiğinde ve bu sahte BitDefender Windows Update [Virustotal] çalıştığında, aşağıdaki ekran, kullanıcıların bir 'Windows Update Paketi' yüklemelerini isteyen şekilde gösterilecektir.
Bununla birlikte, bu 'güncelleme' aslında bir Kobalt Strike Beacon olan Discord CDN'sinden (Virustotal] 'yi indirir ve yükler.
Kobalt grevi, saldırgan güvenlik yetenekleri sunan, lateral ağ hareketini kolaylaştıran ve kalıcılık sağlayan yaygın olarak istismara uğramış bir penetrasyon testi süitidir.
Aynı işlem, bir taban-64 kodlu dosyayı (Java-sdk.exe) kodunu çözen ve yürüten bir GO Downloader (Dropper.exe) getirir.
Bu dosya, kalıcılık için yeni bir Windows kayıt defteri anahtarı ekler ve ayrıca iki tane daha yükleme yükü, Graffsteel Backdoor (Microsoft-Cortana.exe) ve Yetiştirici Backdoor (Oracle-Java.exe) indirir.
Kampanyadaki tüm yürütülebilir ürünler, onları ters mühendislik, algılama ve analizden koruyan Themida aracına paketlenir.
Hem Graphsteel hem de Yetiştirilen, GO'da yazılmış kötü amaçlı yazılım, çoklu ayak izi ve düşük AV algılama oranlarına sahip çok yönlü ve çapraz platform programlama dilidir.
İki Araç Kuvvetleri Ağı Keşif, Komuta Yürütme ve Dosya İşlemlerini kapsar, bu nedenle her ikisinin de aynı sisteme dağıtılmadığı gerçeği artık fazlalık için muhtemeldir.
Graphsteel özellikleri:
Yetiştirme yetenekleri:
Bu iki yükleme yükünde pek çok teknik detay verilmemiştir ve bu raporda yeni isimler göz önüne alındığında arkadenizde bilinenlerin bilinen olasılığını hariç tutamıyoruz.
Ukrayna'daki mevcut durum göz önüne alındığında, tüm düşmanca etkinlikleri Rus ve Rus yanlısı tehdit aktörlerine atfetmek kolaydır ve bu da burada olduğu gibi görünüyor.
Ukraynalı bilgisayar acil müdahale ekibi, algılanan aktiviteyi orta güvenle UAC-0056 grubuyla ilişkilendirir.
"Lorec53" olarak da bilinen UAC-0056, Ukrayna organizasyonlarından bilgi toplamak için kimlik avı e-postaları ve özel arka kapı kombinasyonunu kullanan sofistike bir Rus konuşan apt.
UAC-0056, 2021'den beri Ukrayna'da kimlik avı dağıtımını ve ağ tehlikesi çabalarını arttırıyor.
Aynı aktör, son geçmişte kimlik avı lures ile Gürcü hükümet kurumlarını hedef alan, bu nedenle, Rus devletinin çıkarları ile yüksek düzeyde bir koordinasyon ve uyum sağlamıştır.
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
Rusya-Ukrayna Savaşı, kötü amaçlı yazılım dağıtım için yem olarak sömürüldü
Kimlik avı saldırıları Ukrayna mültecileri yardım eden ülkeler
Yeni CaddyWiper Veri Silme Malware Ukrayna Ağlarına Hits Hits
Güvenlik aracı olarak gizlenmiş kötü amaçlı yazılım Ukrayna'nın BT Ordusunu hedefliyor
Kaynak: Bleeping Computer