Rus bilgisayar korsanları, nostalji yüklü bir oyun tuzağıyla Avrupa ve Amerika Birleşik Devletleri’ndeki finans kurumlarını amaç alıyor.
Ukrayna’daki iki güvenlik kuruluşu – CSIRT-NBU ve CERT-UA, “UAC-0188” olarak takip ettikleri bir tehdit aktörünün yürüttüğü yeni bir kimlik avı kampanyası konusunda ikazda bulundu. Bu küme birebir vakitte “FRwL” olarak da biliniyor. Bu kısaltmanın 1963 imali James Bond sineması From Russia with Love‘ın kısaltması olduğu düşünülüyor.
Grup, bir tıp merkezi üzere davranarak “[email protected]” adresinden kimlik avı e-postaları gönderiyor. E-postalar “Tıbbi Dokümanların Ferdî Web Arşivi” bahis satırıyla geliyor ve 33 MB’lık bir ek, Dropbox’ta bulunan ve ünlü Mayın Tarlası Windows oyununun Python klonunun kodunu içeren bir .SCR evrakı içeriyor. Bununla birlikte, klon ayrıyeten uzak bir kaynaktan birkaç adım sonra SuperOps RMM’yi yükleyen ek komut evrakları da indiriyor.
Remote Monitoring and Management’ın (Uzaktan İzleme ve Yönetim) kısaltması olan SuperOps RMM, yönetilen hizmet sağlayıcılara (MSP’ler) ve BT uzmanlarına müşteri BT altyapısını uzaktan yönetme ve izleme konusunda yardımcı olmak için tasarlanmış bir yazılım platformu. Bu platform BT operasyonlarını kolaylaştırmak, güvenliği artırmak ve verimliliği geliştirmek için çeşitli araçları ve fonksiyonları bir ortaya getiriyor.
Bu aracın kullanımı yasal olsa da Cobalt Strike‘ın başına gelenlere emsal biçimde sıklıkla berbata kullanılıyor. SuperOps RMM, saldırganların sistemlere uzaktan erişimini sağlayarak daha tehlikeli berbat maksatlı yazılımları yerleştirmelerine imkan tanıyor. Ayrıyeten oturum açma kimlik bilgilerini, hassas bilgileri, bankacılık bilgilerini ve daha pek çok şeyi ele geçirerek bilgi hırsızlığı yapabiliyor.
Olağan amaçların kimler olduğu ya da kümenin kaç kuruluşun güvenliğini tehlikeye attığına dair bir açıklama şimdi yapılmadı.
News
