Polonya hükümeti tarafından yapılan açıklamaya göre Rus siber casuslar NATO ve AB kuruluşlarını hedef aldı.
Polonya hükümeti, Rusya istihbarat servisleriyle bağlantılı bir siber casusluk grubunu, NATO ve AB üye devletlerinin diplomatik ve dışişleri bakanlıklarını hedef aldığı konusunda uyardı. Güvenlik sektöründe APT29, Cozy Bear ve NOBELIUM olarak bilinen grubun, Rusya Dış İstihbarat Servisi’nin (SVR) bir parçası olduğuna inanılıyor Yazılım şirketi SolarWinds’e yönelik 2020 tedarik zinciri saldırısının arkasındaki grup, dünya çapında binlerce kuruluşu zor durumda bırakmıştı.
APT29, daha önce kötü amaçlı yazılım dağıtımı için .ISO dosyalarını kullanmıştı. Ancak .IMG (disk görüntüsü) dosyalarının kullanımı yeni bir teknik olarak karşımıza çıkıyor. Hem ISO hem de IMG dosyaları, Windows’ta açıldığında otomatik olarak bir sanal disk olarak bağlanır ve kullanıcı, içindeki dosyalara erişebilir. Bu durumda dosyalar, yasal bir yürütülebilir dosyayı başlatan ve ardından kötü amaçlı bir DLL yükleyen Windows kısayollarıydı.
Bu teknik, DLL yandan yükleme olarak biliniyor ve saldırganların aynı dizinden belirli bir ada sahip bir DLL kitaplığı yüklediği bilinen meşru bir uygulamaya ait yürütülebilir bir dosyayı teslim etmesini içeriyor. Saldırganların dosyaya eşlik etmesi için yalnızca aynı ada sahip kötü amaçlı bir DLL sağlaması gerekiyor. Saldırganlar, belleğe kötü amaçlı kod yüklemek için meşru bir dosya kullanarak, bu dosyayı beyaz listeye almış olabilecek güvenlik araçları tarafından tespit edilmekten kurtulmayı umuyorlar.
Saldırının ilk yükü, Polonyalı araştırmacıların SNOWYAMBER adını verdiği özel bir kötü amaçlı yazılımdır. Ekim 2022’de Recorder Future tarafından bir SNOWYAMBER çeşidi tespit edildi ve kamuoyuna bildirildi. Ancak Şubat 2023’te Polonyalı araştırmacılar tarafından ek tespit önleme rutinlerine sahip yeni bir varyant bulundu. SNOWYAMBER, APT29 tarafından kullanılan tek kötü amaçlı yazılım değil. Şubat ayında grubun, HALFRIG olarak adlandırdıkları ve yine Cobalt Strike konuşlandırmak için kullanılan başka bir yükü kullandığı görüldü. Ancak, onu bir komut ve kontrol sunucusundan indirmek yerine, kabuk kodundan şifresini çözdü. Mart ayında bilgisayar korsanlarının, kod tabanının bir kısmını HALFRIG ile paylaşan QUARTERRIG adlı başka bir aracı kullandığı görüldü.
Polonya Askeri Karşı İstihbarat Servisi ve CERT.PL, hedef olabileceklerini düşünen kuruluşlara aşağıdaki savunma önlemlerini uygulamalarını tavsiye ediyor: