Ukrayna'nın siber güvenlik merkezi (CERT), Rusya hükümetinin en üst düzey hacker gruplarından birinin, Ukrayna'daki kritik öneme sahip kuruluşlara ait cihazları hedef almak için Clickfix olarak bilinen bir saldırı yöntemini benimsemesi konusunda uyarıda bulundu.
Clickfix, son bir yıldır özellikle finansal amaçlı suçlular tarafından yaygın olarak kullanılan etkili bir saldırı tekniği olarak öne çıkıyor. Saldırganların kontrolündeki web sitelerinde, ziyaretçiden bir güvenlik doğrulama (CAPTCHA) testi geçmesi isteniyor. Bu testte gösterilen rastgele metinleri kopyalayıp komut satırına yapıştırması gereken kullanıcı, aslında zararlı yazılımlar yükleyen veya hassas verileri çalan komutları çalıştırmış oluyor. Ukrayna CERT'in bildirdiğine göre, Rusya'nın askeri istihbarat birimi GRU bünyesindeki gelişmiş hacker birimi olarak bilinen Sandworm'un da bu tekniği kullanmaya başladığı belirtiliyor.
“GhettoVibe”, “ScoutCurl” ve Daha Nicesi
Clickfix saldırıları ilkbaharda başlayıp yaz boyunca devam etti. Bu kampanya sonucunda, Sandworm'un özel olarak geliştirdiği zararlı yazılım paketlerinden biri olan FreakyPoll tarafından enfekte edilmiş bir cihazın bulunduğu bir kuruluşun ağının tehlikeye girdiği kaydedildi. Ukraynalı yetkililer, sahte bir CAPTCHA'nın parçası olarak kötü amaçlı bir PowerShell komutu içeren 10 adet ele geçirilmiş web sitesi tespit etti. Bu komut, ziyaretçinin gerçek bir insan olduğunu doğrulamak için girilmesi gereken metni içeriyordu.
Kullanıcı komutu girdiğinde, kötü amaçlı Visual Basic betikleri ve diğer zararlı yazılımlar yüklenebiliyordu. Bu yazılımlar daha sonra Sandworm'un çeşitli zararlılarını kuruyordu. Genellikle ilk çalışan zararlı, enfekte cihazdan bilgi toplayan bir keşif programı oluyordu. Önemli görülen makineler, sisteme arka kapı (backdoor) bırakan takipçi zararlılarla karşılaşıyordu.
Salı günkü uyarı metninin çevrilmiş bir versiyonunda, "Komut, örneğin, bir VBS dosyasını Başlangıç dizinine yükleyip kaydetmek üzere tasarlanmış olabilir" ifadesi yer alıyor. "Bu tür bir programın varyantlarından biri GHETTOVIBE olarak adlandırılıyordu. Bir sonraki aşamada, siber saldırı nesnesinin önemini belirlemek için, bilgisayardaki temel özellikleri, programları, dosyaları, internet tarayıcısı verilerini vb. toplayıp dışarı aktaran temel keşifler yapan bir PowerShell betiği olan SCOUTCURL yazılım aracı saldırıya uğrayan bilgisayara yüklenebilir."
FreakyPoll, cihazlara arka kapı bırakan bir Python betiğidir. Kampanyada kullanılan diğer zararlı yazılımlar arasında antivirüs programı gibi görünen FluidLeech ve LoadLoop yer alıyor. Uyarıda ayrıca şu bilgilere yer verildi:
CERT-UA, Sandworm'un kullandığı başka saldırı tekniklerini de katalogladı. Bunlardan biri, kullanıcıları uygulamaları yüklemeye teşvik eden aldatıcılar kullanarak Android cihazlarına arka kapı bırakıyor. CowardDuck olarak takip edilen bu yöntem, potansiyel olarak hassas dosyaları bir araya getirip saldırgan kontrolündeki bir sunucuya gönderiyor.
Daha önce Sandworm, cihazları genellikle korsan yazılımları içeren ve tehlikeli hale getirilmiş Torrent izleyicilerine bağlantılar ekleyerek enfekte ediyordu. Diğer durumlarda ise hacker grubu, Signal üzerinden uzun süreli sohbetlerle hedef aldıkları kişileri oyalıyor ve sonunda onları güvenlik yazılımı gibi görünen zararlıları yüklemeye ikna ediyordu.
Uyarı, web sitesi sistem yöneticilerini ve barındırma sağlayıcılarını web kabukları (web shells), yetkisiz uzantılar ve diğer ele geçirilme belirtilerini izlemeye çağırarak sona erdi.