Araştırmacılar, Asya Hükümetlerini ve Telekom Devlerini Hedef Alan Devam Eden Saldırıları Ortaya Çıkardı
Asya'daki yüksek profilli hükümet ve telekom kuruluşları, 2021'den beri devam eden ve bir sonraki aşama kötü amaçlı yazılım dağıtmak için temel arka kapılar ve yükleyiciler dağıtmak üzere tasarlanmış bir kampanyanın parçası olarak hedef alındı.
Asya'daki yüksek profilli hükümet ve telekom kuruluşları, 2021'den beri devam eden ve bir sonraki aşama kötü amaçlı yazılım dağıtmak için temel arka kapılar ve yükleyiciler dağıtmak üzere tasarlanmış bir kampanyanın parçası olarak hedef alındı.
Siber güvenlik şirketi Check Point, etkinliği Stayin' Alive adı altında takip ediyor. Hedefler arasında Vietnam, Özbekistan, Pakistan ve Kazakistan'da bulunan kuruluşlar yer alıyor.
"Araçların basit doğası [...] ve geniş varyasyonları, tek kullanımlık olduklarını, çoğunlukla ek yükleri indirmek ve çalıştırmak için kullanıldığını gösteriyor" dedi. "Bu araçlar, bilinen herhangi bir aktör tarafından oluşturulan ürünlerle net bir kod örtüşmesi paylaşmıyor ve birbirleriyle pek ortak noktaları yok."
Kampanyayla ilgili dikkate değer olan şey, altyapı paylaşımlarının, en az Aralık 2020'den bu yana Avrupa ve Asya'daki hükümet ve askeri kurumlara yönelik siber saldırıları düzenlemesiyle tanınan Çin bağlantılı bir tehdit aktörü olan ToddyCat tarafından kullanılanla örtüşmesi.
Saldırı zincirleri, arşivde bulunan sahte bir DLL dal_keepalives.dll aracılığıyla CurKeep adlı bir arka kapıyı yüklemek için DLL yandan yüklemesinden yararlanan meşru bir yürütülebilir dosyaya sahip bir ZIP dosyası eki içeren bir hedef odaklı kimlik avı e-postasıyla başlar.
CurlKeep, güvenliği ihlal edilmiş ana bilgisayar hakkında uzak bir sunucuya bilgi göndermek, sunucu tarafından gönderilen komutları yürütmek ve sistemdeki bir dosyaya sunucu yanıtları yazmak için tasarlanmıştır.
Komuta ve kontrol (C2) altyapısının daha yakından incelenmesi, DLL dosyalarını alabilen, uzaktan komutları yürütebilen ve sunucudan gelen verilerin yazıldığı yeni oluşturulan bir dosyayla ilişkili bir işlem başlatabilen CurLu, CurCore ve CurLog adlı sürekli gelişen bir yükleyici varyantı cephaneliğini ortaya çıkardı.
Ayrıca, uzak bir bağlantıyı kabul etmek ve şifreli bir yapılandırma dosyası almak için beş farklı bağlantı noktasını (60810, 60811, 60812, 60813 ve 60814) dinleyen StylerServ adlı pasif bir implant da keşfedildi.
Stayin' Alive'ı ToddyCat'e bağlayacak kesin bir kanıt olmasa da, bulgular her iki saldırı setinin de benzer bir dizi hedefin peşinden gitmek için aynı altyapıyı kullandığını gösteriyor.
Check Point, "Bu kampanyada gözlemlendiği gibi tek kullanımlık yükleyicilerin ve indiricilerin kullanımı, sofistike aktörler arasında bile daha yaygın hale geliyor" dedi. "Tek kullanımlık araçların kullanılması, sık sık değiştirildikleri ve muhtemelen sıfırdan yazıldıkları için hem algılama hem de ilişkilendirme çabalarını zorlaştırıyor."
Gelişme, AhnLab Güvenlik Acil Durum Müdahale Merkezi'nin (ASEC), Güney Kore ve Tayland'daki çeşitli kuruluşların, komut yürütmeye ve dosya indirme ve yüklemeye izin veren BlueShell adlı açık kaynaklı Go tabanlı bir arka kapı ile hedef alındığını ortaya çıkarmasıyla geldi. İzinsiz girişlerden bazıları, Dalbit olarak bilinen Çinli bir bilgisayar korsanlığı ekibine atfedildi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı