DirtyMoe Kötü Amaçlı Yazılım, DDoS ve Cryptojacking için 2,000+ Ukraynalı Bilgisayara Bulaşıyor

Ajans, kampanyayı UAC-0027 olarak adlandırdığı bir tehdit aktörüne bağladı.

En az 2016'dan beri aktif olan DirtyMoe, cryptojacking ve dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirebilir. Mart 2022'de siber güvenlik firması Avast, kötü amaçlı yazılımın bilinen güvenlik açıklarından yararlanarak solucan benzeri bir şekilde yayılma yeteneğini ortaya çıkardı.

DDoS botnet'in Purple Fox olarak adlandırılan başka bir kötü amaçlı yazılım veya Telegram gibi popüler yazılımlar için sahte MSI yükleyici paketleri aracılığıyla teslim edildiği bilinmektedir. Purple Fox ayrıca, tehdit aktörlerinin makinedeki kötü amaçlı yazılımı gizlemesine ve tespit edilmesini ve kaldırılmasını zorlaştırmasına olanak tanıyan bir rootkit ile donatılmıştır.

Ukrayna'yı hedef alan kampanyada kullanılan ilk erişim vektörü şu anda tam olarak bilinmiyor. CERT-UA, kuruluşların sistemlerini güncel tutmalarını, ağ segmentasyonunu uygulamalarını ve herhangi bir anormal etkinlik için ağ trafiğini izlemelerini önerir.

Açıklama, Securonix'in SUBTLE-PAWS adlı ısmarlama bir PowerShell arka kapısı sunmak amacıyla Ukrayna askeri personelini hedef alan STEADY#URSA olarak bilinen devam eden bir kimlik avı kampanyasını detaylandırmasıyla geldi.

Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, "İstismar zinciri nispeten basittir: hedefin, yeni bir PowerShell arka kapı yük kodunu (aynı arşivde bulunan başka bir dosyanın içinde bulunur) yükleyen ve yürüten kötü amaçlı bir kısayol (.lnk) dosyası yürütmesini içerir" dedi.

Saldırının, Aqua Blizzard (eski adıyla Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 ve Winterflounder olarak da bilinen Shuckworm olarak bilinen bir tehdit aktörüyle ilgili olduğu söyleniyor. En az 2013'ten beri aktif olan bu birimin, Rusya Federal Güvenlik Servisi'nin (FSB) bir parçası olduğu değerlendiriliyor.

SUBTLE-PAWS, ana bilgisayarda kalıcılık ayarlamanın yanı sıra, daha önce 2023'ün başından beri düşmanla ilişkili olarak tanımlanan bir teknik olan komuta ve kontrol (C2) bilgilerini almak için Telegram'ın Telegraph adlı blog platformunu kullanıyor ve çıkarılabilir bağlı sürücüler aracılığıyla yayılabiliyor.

Gamaredon'un USB sürücüler aracılığıyla yayılma yeteneği, Kasım 2023'te PowerShell tabanlı USB solucanını LitterDrifter olarak adlandıran Check Point tarafından da belgelendi.

Securonix'te tehdit araştırması ve veri bilimi/yapay zeka başkan yardımcısı Kolesnikov, verdiği demeçte, "Yeni SUBTLE-PAWS saldırı yükü, [LitterDrifter] kampanyasında yer alan kötü niyetli tehdit aktörü tarafından saldırı yüklerinin bir evrimi olarak görülebilir" dedi.

"Örneğin, LitterDrifter vbscript tabanlıdır. SUBTLE-PAWS, PowerShell'dir. Bu yüklerin nasıl çalıştığı konusunda da farklılıklar var, örneğin SUBTLE-PAWS farklı bir kalıcılık mekanizması kullanıyor."

Araştırmacılar, "SUBTLE-PAWS arka kapısı, kötü niyetli yükleri dinamik olarak yürütmek için gelişmiş teknikler kullanıyor" dedi.

"Geleneksel dosya tabanlı algılama yöntemlerinden kaçınmaya yardımcı olabilecek Windows Kayıt Defteri'nden yürütülebilir PowerShell kodunu depolar ve alırlar. Bu yaklaşım, kötü amaçlı yazılım yeniden başlatmalardan veya diğer kesintilerden sonra kendini yeniden başlatabileceğinden, virüslü sistemde kalıcılığın korunmasına da yardımcı olur."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği