Bulut odaklı kullanımla da bağlantılı olan AT29, geçen yılın başlarında savaşın başlamasının ardından Ukrayna’yı öne çıkaran Rusya kaynaklı birçok faaliyet kümesinden biri
16 Ekim 2023Haber odasıGüvenlik Açığı / Hacking
Rusya yanlısı bilgisayar korsanlığı grupları, ele geçirilen sistemlerden kimlik bilgilerini toplamak için tasarlanmış bir kimlik avı kampanyasının parçası olarak WinRAR arşivleme aracında yakın zamanda açıklanan bir güvenlik açığından yararlandı
Geliştirme, Google’ın sahibi olduğu Mandiant olarak geliyor haritası çıkarılmış Rus ulus devlet aktörü APT29’un, temponun arttığı ve 2023’ün ilk yarısında Ukrayna’ya vurgu yapıldığı bir dönemde diplomatik kurumları hedef alan “hızla gelişen” kimlik avı operasyonları
“2023 yılında en aktif gruplar UAC-0010 (Gamaredon/FSB), UAC-0056 (GRU), UAC-0028 (APT28/GRU), UAC-0082 (Kum kurdu/GRU), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29/ SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet), [and] UAC-0107 (Rusya Siber Ordusu),” Ukrayna Özel İletişim ve Bilgilerin Korunması Devlet Servisi (SSSCIP) söz konusu
siber-2
Cluster25, “Saldırı, 6 Yakalanan bilgiler meşru bir web hizmeti web kancası aracılığıyla sızdırılır[
Temmuz 2023’te Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Turla’nın Capibar kötü amaçlı yazılımını ve Kazuar arka kapısını Ukrayna savunma varlıklarına yönelik casusluk saldırıları için kullanan saldırılara karıştığını ortaya çıkardı ” açıklandı yakın zamanda yayınlanan bir raporda 23’ten önceki WinRAR sıkıştırma yazılımı sürümlerini etkileyen ve yakın zamanda keşfedilen güvenlik açığından yararlanan ve CVE-2023-38831 olarak izlenen kötü amaçlı arşiv dosyalarının kullanımını içeriyor
Dikkate değer değişikliklerden bazıları, birinci aşama yükleri barındırmak için güvenliği ihlal edilmiş WordPress sitelerinin kullanılmasının yanı sıra ek gizleme ve anti-analiz bileşenlerini de içeriyor Toplamda, operasyonları etkileyen yıkıcı siber saldırıların sayısı 518’den 267’ye düştü Kökenleri, taktikleri ve hedefleri, hepsi yüksek vasıflı operatörlerle iyi finanse edilen bir operasyona işaret ediyor
Ayrıca, Google Chrome ve Microsoft Edge tarayıcılarından oturum açma kimlik bilgileri de dahil olmak üzere verileri çalan bir PowerShell betiği de dağıtıldı ” söz konusu Geçen hafta yayınlanan bir raporda ]alan Group-IB’nin Ağustos 2023’teki bulguları, hatanın Nisan 2023’ten bu yana tüccarları hedef alan saldırılarda sıfır gün olarak silah haline getirildiğini ortaya çıkardı
CVE-2023-38831, WinRAR’da, saldırganların ZIP arşivindeki zararsız bir dosyayı görüntülemeye çalıştıklarında rastgele kod çalıştırmasına olanak tanıyan yüksek önem derecesine sahip bir kusuru ifade eder
Trend Micro, “Turla grubu, uzun bir faaliyet geçmişine sahip inatçı bir düşmandır ”
Ukrayna siber güvenlik kuruluşları da geçen ayki bir raporda, açıklığa kavuşmuş Kremlin destekli tehdit aktörlerinin, Ukrayna’nın Rus askerleri tarafından işlenen savaş suçlarına ilişkin soruşturmaları hakkında bilgi toplamak için yerel kolluk kuvvetlerini hedef aldığı belirtildi “Turla, araçlarını ve tekniklerini yıllar boyunca sürekli olarak geliştirdi ve muhtemelen bunları iyileştirmeye devam edecek
Şirket, APT29’un araçları ve ticari tekniğindeki önemli değişikliklerin “muhtemelen operasyonların artan sıklığını ve kapsamını desteklemek ve adli analizleri engellemek için tasarlandığını” ve “farklı operasyonlarda aynı anda çeşitli enfeksiyon zincirlerini kullandığını” söyledi
Arşiv, tıklandığında saldırganın hedeflenen ana bilgisayara uzaktan erişmesini sağlayan bir ters kabuk açmak için PowerShell komutlarını başlatan bir Windows Batch komut dosyasının yürütülmesine neden olan bubi tuzaklı bir PDF dosyası içeriyor
CERT-UA, 2023’ün ilk yarısında 27 “kritik” siber olay kaydetti; bu sayı 2022’nin ikinci yarısındaki 144 ve 2022’nin ilk yarısındaki 319’du