Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Gamaredon adlı hacker grubunun hızlı saldırılarla çalışarak, ihlal edilen sistemlerden veri çaldığı konusunda uyarıda bulunuyor. Gamaredon, diğer adlarıyla Armageddon, UAC-0010 ve Shuckworm, Rus devlet destekli bir siber casusluk hacker grubudur ve güvenlik araştırmacıları tarafından FSB’ye (Rus Federal Güvenlik Servisi) bağlanmaktadır. Ayrıca grubun, 2014 yılında Rusya’ya kaçan eski SSU (Ukrayna Güvenlik Servisi) görevlilerinden oluştuğu düşünülmektedir.
Rus işgalinin başlangıcından bu yana, tehdit aktörlerinin Ukrayna hükümeti ve diğer kritik kamu ve özel kuruluşlara binlerce saldırıdan sorumlu oldukları düşünülmektedir.
Bu saldırılar sonucunda birikmiş veriler, CERT-UA’nın grubun saldırılarını belirlemesine yardımcı olmuş ve savunma mekanizmalarının ağ sızma girişimlerini tespit ederek durdurmalarına yardımcı olacak bilgileri paylaşmasını sağlamıştır.
Gamaredon Saldırı Özellikleri Gamaredon saldırıları genellikle Telegram, WhatsApp, Signal veya diğer anlık mesajlaşma uygulamaları aracılığıyla hedeflere gönderilen e-posta veya mesajla başlar.
İlk enfeksiyon, Microsoft Word veya Excel belgeleri olarak kılıfına girmiş HTM, HTA ve LNK dosyaları gibi zararlı ekleri açmaya kurbanı kandırarak gerçekleştirilir.
Kurban zararlı ekleri açtığında, PowerShell komut dosyaları ve genellikle ‘GammaSteel’ olarak adlandırılan kötü amaçlı yazılım indirilir ve kurbanın cihazında çalıştırılır.
İlk enfeksiyon adımı aynı zamanda Microsoft Office Word şablonlarını değiştirir, böylece enfekte edilmiş bilgisayarda oluşturulan tüm belgeler Gamaredon’un kötü amaçlı makrosunu taşır ve böylece başka sistemlere yayılabilir.
PowerShell komut dosyası, çift faktörlü kimlik doğrulama ile korunan çevrimiçi hesapları ele geçirmek için oturum verilerini içeren tarayıcı çerezlerini hedef alır.
GammaSteel’in işlevselliği ile ilgili olarak, CERT-UA, .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb uzantılarına sahip belgeleri hedeflediğini belirtiyor.
Saldırganlar bir ihlal edilen bilgisayardaki belgelere ilgi duyuyorsa, bunları 30-50 dakika içinde çıkarırlar.
Gamaredon enfeksiyonlarının başka bir ilginç yönü de tehdit aktörlerinin haftada 120 kadar enfekte olmuş dosyayı kompromize edilmiş sisteme yerleştirmesidir. Bu, tekrar enfeksiyon olasılığını artırmak amacıyla yapılmaktadır.
“Dezenfeksiyon sürecinde, işletim sistemi kayıtlarının temizlenmesi, dosyaların silinmesi, zamanlanmış görevlerin kaldırılması vb. işlemler sonrasında en az bir enfekte dosya veya belge bilgisayarda kalırsa (kullanıcılar sıkça işletim sistemini yeniden yükler ve kontrol etmeden “gereken” belgeleri aktarır), bilgisayar muhtemelen tekrar enfekte olacaktır.” şeklinde açıklıyor CERT-UA.
Bir enfekte bilgisayarın bağlantı noktalarına takılan USB sürücüler de otomatik olarak Gamaredon’un başlangıç uygulama yüklerine enfekte olabilir, bu da izole edilmiş ağlara sızma olasılığını artırır.
Son olarak, hackerlar kurban komut ve kontrol sunucularının IP adreslerini günde üç ila altı kez değiştirerek, savunma mekanizmalarının faaliyetlerini engellemesini veya izlemesini zorlaştırırlar.
Bu noktada, CERT-UA, Gamaredon saldırılarının etkinliğini sınırlamanın en iyi yolunun mshta.exe, wscript.exe, cscript.exe ve powershell.exe’nin izinsiz yürütmesini engellemek veya kısıtlamak olduğunu belirtiyor.
Kaynak: https://cert.gov.ua/
No Comment! Be the first one.