Ukrayna’nın teknik güvenlik ve istihbarat servisi, kullanıcıların Telegram hesaplarına erişmeyi amaçlayan yeni bir siber saldırı dalgası konusunda uyarıyor.
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi (SSSCIP), “Suçlular, kayıtlara yetkisiz erişim elde etmek için, SMS’den bir kerelik kod aktarma olasılığı da dahil olmak üzere, Telegram web sitesine kötü niyetli bağlantılar içeren mesajlar gönderdi.” dedim bir uyarıda.
bu saldırılar“UAC-0094” adlı bir tehdit kümesine atfedilen , alıcıları Rusya’da bulunan yeni bir cihazdan bir giriş algılandığını bildiren ve kullanıcıları bir bağlantıya tıklayarak hesaplarını onaylamaya çağıran Telegram mesajlarından kaynaklanmaktadır.
Gerçekte bir kimlik avı alanı olan URL, kurbanlardan telefon numaralarını ve SMS yoluyla gönderilen ve daha sonra tehdit aktörleri tarafından hesapları ele geçirmek için kullanılan tek seferlik şifreleri girmelerini ister.
Yöntem, hesapları ele geçirmek için Ukr.net kullanıcılarına kimlik avı e-postaları göndermek için farklı Hint varlıklarına ait güvenliği ihlal edilmiş gelen kutularından yararlanan Mart ayı başlarında açıklanan daha önceki bir kimlik avı saldırısını yansıtıyor.
Başka sosyal mühendislik kampanyası Ukrayna’nın Bilgisayar Acil Müdahale Ekibi (CERT-UA) tarafından gözlemlenen, savaşla ilgili e-posta cazibeleri, bir parça casus kötü amaçlı yazılım dağıtmak için Ukrayna devlet kurumlarına gönderildi.
E-postalar, bir HTML dosyası eki (“Rusya Federasyonunun Savaş Suçluları”) ile birlikte gelir ve bu, virüslü ana bilgisayarda PowerShell tabanlı bir implantın indirilmesi ve yürütülmesiyle sonuçlanan bir açılır.
CERT-UA, saldırıyı, en az 2013’ten beri Ukraynalı kuruluşlara saldırma geçmişi olan Federal Güvenlik Servisi (FSB) ile bağları olan Rusya merkezli bir tehdit aktörü olan Armageddon’a bağladı.
Şubat 2022’de, bilgisayar korsanlığı grubu, temel amacı hassas bilgileri sızdırmak olan hükümet, askeri, sivil toplum kuruluşları (STK), yargı, kolluk kuvvetleri ve kar amacı gütmeyen kuruluşları hedef alan casusluk saldırılarına bağlandı.
Gamaredon takma adıyla da bilinen Armageddon’un da Letonya hükümet yetkililerini bir anlaşmanın parçası olarak seçtiğine inanılıyor. ilgili kimlik avı saldırısı Mart 2022’nin sonuna doğru, kötü amaçlı yazılım dağıtmak için savaş temalı RAR arşivlerini kullandı.
CERT-UA tarafından son haftalarda belgelenen diğer kimlik avı kampanyaları, aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı yazılımlar kullandı: GraphSteel, GrimPlantHeaderTip, LoadEdge ve SPEKTRbir Ghostwriter öncülüğünden bahsetmiyorum bile operasyon Kobalt Strike sonrası sömürü çerçevesini kurmak için.
Açıklama, İran, Çin, Kuzey Kore ve Rusya’dan birkaç gelişmiş kalıcı tehdit (APT) grubunun, devam eden Rus-Ukrayna savaşından, kurban ağlarına arka kapı açmak ve diğer kötü niyetli faaliyetleri düzenlemek için bir bahane olarak yararlanmasıyla ortaya çıkıyor.