Ukrayna’nın Computer Emergency Response Team, saldırganların Cobalt Strike ve diğer kötü amaçlı yazılımları yüklemeke için sahte windows defender güncellemeleri kulladıkları ortaya çıkardı. Saldırı e-postaları, Ukrayna devlet kurumlarından geliyormuş gibi kamufle ederek. ağ güvenliğini artırmanın yollarını sunan ve alıcılara “BitdefenderWindowsUpdatePackage.exe” adlı 60 MB’lık bir dosya biçiminde gelen “kritik güvenlik güncellemelerini” indirmelerini öneren bir epostalar ile başlıyor.
Bir kurban bu sahte BitDefender Windows güncellemesini [ VirusTotal ] indirip çalıştırdığında , kullanıcılara ‘Windows Güncelleme Paketi’ yüklemelerini isteyen aşağıdaki ekran gösterilmekte.
Ancak, bu ‘güncelleme’ aslında bir Cobalt Strike yükleyicisi olan discord CDN’den one.exe dosyasını [ VirusTotal ] indirir ve kuruyor. Aynı işlem, base64 kodlu bir dosyanın (java-sdk.exe) kodunu çözen ve yürüten bir Go indiricisini (dropper.exe) indiriyor. Bu dosya, kalıcılık için yeni bir Windows kayıt defteri anahtarı ekliyor ve ayrıca GraphSteel arka kapısı (microsoft-cortana.exe) ve GrimPlant arka kapısı (oracle-java.exe) olmak üzere iki payload daha indiriyor.
Kesin olmamakla birlikte bu saldırıların Rus kaynaklı olduğu düşünülmekte.
Kaynak: bleepingcomputer.com