'Kış Vivern' adlı gelişmiş bir hack grubu, Avrupa hükümet kuruluşlarını ve telekomünikasyon hizmet sağlayıcılarını casusluk yapmak için hedefliyor.
Grubun faaliyetleri Rus ve Belarus hükümetlerinin çıkarları ile uyumludur, bu nedenle bunun Rus yanlısı bir APT (ileri kalıcı tehdit) grup olduğuna inanılmaktadır.
Sentinellabs, tehdit grubunun sınırlı kaynaklar üzerinde çalıştığını bildirir; Ancak, yaratıcılıkları bu sınırlamaları telafi eder.
Kış Vivern ilk olarak 2021 yılında Litvanya, Slovakya, Vatikan ve Hindistan'daki hükümet kuruluşlarını hedefleyen Domaintools tarafından belgelendi.
Sentinel Labs tarafından görülen daha yeni kampanyalarda, bilgisayar korsanları Polonya, İtalya, Ukrayna ve Hindistan hükümetlerinde çalışan bireyleri hedefliyor.
Yüksek profilli devlet hedeflerine ek olarak, bilgisayar korsanları Rus istilasından bu yana Ukrayna'yı destekleyenler gibi telekomünikasyon şirketlerini de hedeflediler.
2023'ün başlarından itibaren, bilgisayar korsanları, siber suç, Ukrayna Dışişleri Bakanlığı ve Ukrayna Güvenlik Servisi ile mücadele etmek için Polonya'nın Merkez Bürosu'nunkini taklit eden web sayfaları oluşturdu.
Bu siteler, kötü amaçlı e -postalardaki bağlantıları tıklayarak oraya giden ziyaretçilere kötü amaçlı dosyalar dağıtır.
Sentinellabs daha önce PowerShell'i APT tarafından kullanılan klonlanmış sitelere bırakılan kötü niyetli makrolarla birlikte elektronik tablo dosyaları (XLS) görmüştür.
Kış Vivern'in Sentinel Labs raporundaki becerikliliğinin bir örneği, gerçekte kötü amaçlı yükler indirilirken antivirüs tarayıcılarını taklit etmek için Windows toplu dosyalarının kullanılmasıdır.
Aşağıdaki toplu dosyalardan görebileceğiniz gibi, kötü amaçlı dosyalar, PowerShell'i kullanarak sessizce kötü amaçlı bir yük indirirken, kalan bir zaman yüzdesini gösteren bir antivirüs taraması yapıyormuş gibi yapacak gibi olacaktır.
Bu süreç boyunca sunulan yüke, Ukrayna sertifikasının Şubat 2023 raporunda ayrıntılı olarak belgelendiği "Aperetif" olarak adlandırılmıştır.
Kötü amaçlı yazılım, kötü amaçlı yazılım dağıtım kampanyaları için yaygın olarak kullanılan güvenliği ihlal edilmiş WordPress web sitelerinde barındırır.
APERETIF kötü amaçlı yazılım, ekran görüntüleri alarak ve baz64 kodlu bir formdaki tüm verileri sabit kodlu bir komut ve kontrol sunucusu URL'sine (Marakanas [.] COM) göndererek otomatik dosya tarama ve eksfiltrasyon yapabilir.
Sentinellabs son zamanlarda Winter Vivern tarafından kullanılan ve Aperefit ile işlevsellik bakımından benzer gibi görünen yeni bir yükü tespit etti, ancak devam eden bir çalışma olduğunu gösteren eksik bir tasarıma sahip.
Dağıtımlarında örtüşen her iki durumda da, kötü amaçlı yazılım fenerleri PowerShell'i kullanarak C2'ye bağlanır ve talimatlar veya ek yükler bekler.
Sonuç olarak, Winter Vivern, hedeflerini kötü amaçlı dosyalar indirmeye teşvik etmek için nispeten basit ama etkili bir yaklaşım kullanan bir gruptur. Aynı zamanda, düşük profilleri yetersiz bildirilmelerine yardımcı oldu.
Ukrayna'da yeni Graphiron Information Stealer kullanan Rus hackerlar
Yorotrooper Cyberspies CIS Enerji Orgs, AB Elçilikleri Hedef
Ürün yazılımı yükseltmelerinden kurtulan kötü amaçlı yazılımlarla enfekte olan Sonicwall cihazları
Iron Tiger Hackers, özel kötü amaçlı yazılımlarının Linux sürümünü oluşturdu
Cliniopa Hackers, hedefli saldırılarda yeni Atharvan kötü amaçlı yazılım kullanıyor
Kaynak: Bleeping Computer