Tehdit analistleri, Gamaredon (A.K.A. Armageddon / Shuckworm) olarak bilinen Rus devlet destekli tehdit grubunun, Özel Pteredo Backdoor'un yeni varyantlarını kullanarak Ukrayna'daki hedeflere karşı saldırılar başlatıldığını bildiriyor.
Gamaredon, en az 2014 tarihinden bu yana Ukrayna hükümetini ve diğer kritik kurumları hedef alan siber-casusluk kampanyaları başlattı.
Aktör, Ukrayna'ya olan güçlü odaklanma ile bilinir, ülkedeki 1.500 kamu ve özel varlığa karşı 5.000'den fazla siberatta attı.
Grubu Shuckworm olarak izleyen Symantec'in bir raporuna göre, aktör şu anda "Pteredo" kötü amaçlı yazılımın en az dört varyantını kullanıyor, ayrıca Pteranodon olarak takip etti.
Backdoor'un kökü, 2016 yılından itibaren, Shuckworm'un aldığı yerden Rus Hacker Forumları'dadır ve verileri, uzaktan erişimi ve analiz kaçakçılığını çalmak için özel DLL modülleri ve özellikleri ile özel olarak geliştirmeye başladı.
Symantec'in analistleri, Ukraynalı hedeflere karşı konuşlandırılan tüm farklı yüklerin son zamanlarda benzer görevler gerçekleştirdiğini, ancak her biri farklı bir komut ve kontrol sunucusu (C2) sunucusu adresi ile iletişim kurduğunu bildirir.
Bu, tehdit aktörünün, fazlalık elde etmek ve kötü amaçlı yazılım temizleme işlemlerine karşı dirençli olan kalıcılık kurma ve kalıcılık kurması için birbirinden biraz farklı olan birden fazla farklı yükleme yükü kullandığını gösterir.
Dört gözlemlenen değişkende, tehdit aktörleri zamanlanmış görevleri ekleyen ve daha sonra C2'den ek modüller elde eden şaşkın VBS Dropers'ı kullanır.
Son shuckworm saldırılarında kullanılan ve istismar edilen diğer araçlar, UltrAvnc uzaktan erişim aracını ve DLL modül işlemlerini kullanmak için Microsoft Proses Explorer'ı içerir.
2022 Ocak'tan itibaren Ukrayna hedeflerine karşı Shuckworm'un faaliyetine bakarak, tehdit grubunun taktiklerinin önemli ölçüde değişmediği sonucuna varmak kolaydır.
Bu önceki saldırılarda, Pteredo Backdoor Varyantları, Mızraksız Kimlik Avı E-postalarında DOC dosya ekleri içinde gizlenen VBS dosyaları kullanılarak düşürüldü.
Kullanıcı etkileşimini en aza indiren 7 fermuar kendiliğinden çıkarılan ikili, Ocak ayında da kullanılmıştır.
Shuckworm / Gamaredon oldukça karmaşık bir grup olsa da, araç seti ve enfeksiyon taktikleri son aylarda daha kolay algılama ve daha basit savunma taktiklerine izin vermemektedir.
Pteredo Backdoor hala aktif olarak gelişmiştir, ancak tehdit grubu, kötü amaçlı yazılımın revizyonunda ve çok daha güçlü ya da gizli bir versiyonunda çalışabilir ve ayrıca saldırı zincirlerini değiştirebilir.
Ukrayna: Rus Armageddon Kimlik Avı Hedefleri AB Govt Acenteleri
Ukrayna, yerel Govt sitelerinin sahte yakalamayı zorlamayı hack ettiğini söyledi
Oldgremlin fidyewware çete yeni kötü amaçlı yazılım ile Rusya'yı hedefliyor
Sandworm bilgisayar korsanları Ukrayna enerji sağlayıcısını alamadı
Hackerlar, Rus şirketlerine saldırmak için Conti'nin sızdırılmış fidye yazılımını kullanıyor
Kaynak: Bleeping Computer