Rus APT Hackerları Avrupalı Diplomatları Hedeflemek için COVID-19 Tuzakları Kullandı
APT29 olarak bilinen Rusya bağlantılı tehdit aktörü, Ekim ve Kasım 2021'de düzenlenen bir dizi hedef odaklı kimlik avı kampanyasının bir parçası olarak Avrupa diplomatik misyonlarını ve Dışişleri Bakanlıklarını hedef aldı.
ESET'in The Hacker News ile paylaşılan T3 2021 Tehdit Raporuna göre, izinsiz girişler, güvenliği ihlal edilmiş sistemlerde Cobalt Strike Beacon'ın konuşlandırılmasının önünü açtı ve ardından aynı sistemdeki ana bilgisayarlar ve diğer makineler hakkında bilgi toplamak için ek kötü amaçlı yazılımları bırakmak için zeminden yararlandı.
The Dukes, Cozy Bear ve Nobelium adları altında da izlenen gelişmiş kalıcı tehdit grubu, yaygın ilgi görmeden önce Avrupa ve ABD'yi hedef alan saldırılarıyla on yıldan fazla bir süredir aktif olan kötü bir siber casusluk grubudur. 2020'de ABD devlet kurumları da dahil olmak üzere birçok alt kuruluşta daha fazla enfeksiyona yol açan SolarWinds'in tedarik zinciri uzlaşması için.
Hedefe yönelik kimlik avı saldırıları, İran Dışişleri Bakanlığı'nın kimliğine bürünen ve açıldığında alıcılardan bir ISO disk görüntü dosyası gibi görünen bir dosyayı açmasını veya kaydetmesini isteyen bir HTML eki içeren COVID-19 temalı bir kimlik avı e-postasıyla başladı (" Covid.iso").
Kurban dosyayı açmayı veya indirmeyi seçerse," küçük bir JavaScript parçası, doğrudan HTML ekine gömülü olan ISO dosyasının kodunu çözer." Disk görüntü dosyası, sırayla, Cobalt Strike Beacon'ı virüslü sisteme yükleyen bir PowerShell kodu parçasını çalıştırmak için mshta.exe kullanılarak yürütülen bir HTML uygulaması içerir.
KAYNAK