Başarılı bir ihlali, ağ ve sunucu ekipmanlarını, özellikle Mikrotik ekipmanlarını ve veri depolama sistemlerini devre dışı bırakma girişimleri izler
Saldırıların başlangıç noktası, bir telekomünikasyon şirketinin ağının, açığa çıkan RDP veya SSH arayüzlerini ve potansiyel giriş noktalarını belirlemek için tarandığı bir keşif aşamasıdır
17 Ekim 2023Haber odasıSiber Saldırı / Kötü Amaçlı Yazılım
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), tehdit aktörlerinin Mayıs ve Eylül 2023 arasında ülkedeki en az 11 telekomünikasyon hizmet sağlayıcısına “müdahalede bulunduğunu” ortaya çıkardı
“Trafiği bu tür düğümler üzerinden yönlendirmek için Dante, SOCKS5 ve diğer proxy sunucuları kullanılıyor Adli izi silmek için WHITECAT adlı bir yardımcı program çalıştırılır
“Saldırganların amacı, muhasebecilerin bilgisayarlarına saldırarak kimlik doğrulama verilerini (oturum açma adı, şifre, anahtar/sertifika) çalmak ve/veya yetkisiz ödemeler göndermek amacıyla uzak bankacılık sistemlerindeki mali belgelerin ayrıntılarını değiştirmektir ”
siber-2
CERT-UA, “Meşru ele geçirilmiş e-posta adresleri e-posta göndermek için kullanılıyor ve SmokeLoader bilgisayarlara çeşitli yollarla dağıtılıyor
Bu gelişme, ajansın Ekim 2023’ün ilk haftasında SmokeLoader kötü amaçlı yazılımını kullanan UAC-0006 grubu olarak takip ettiği bir bilgisayar korsanlığı ekibi tarafından gerçekleştirilen dört kimlik avı dalgası gözlemlediğini söylemesinin ardından geldi ”
Saldırılar, kimlik bilgileri hırsızlığına ve virüslü ana bilgisayarların uzaktan kontrolüne olanak tanıyan POEMGATE ve POSEIDON adı verilen iki özel programın kullanılmasıyla dikkat çekiyor
CERT-UA, “Keşif ve kullanım faaliyetlerinin, özellikle internetin Ukrayna bölümünde bulunan, daha önce güvenliği ihlal edilmiş sunuculardan gerçekleştirildiğine dikkat edilmelidir ” söz konusu
Ajans, izinsiz girişlerin müşteriler için hizmet kesintilerine yol açtığını belirterek, etkinliği UAC-0165 adı altında izliyor
Dahası, sağlayıcının altyapısına sürekli yetkisiz erişim, çok faktörlü kimlik doğrulama kullanılarak korunmayan normal VPN hesapları kullanılarak gerçekleştirilir