Siber Muhbir

Google'ın sahibi olduğu Mandiant, saldırıların sağlık, ulaşım, inşaat ve lojistik dahil olmak üzere birçok sektörü ayırdığını söyledi.

Şirket Salı günü yayınladığı bir raporda, "UNC4990 operasyonlar genellikle yaygın USB enfeksiyonunu ve ardından EMPTYSPACE indiricisinin dağıtımını içeriyor" dedi.

"Bu işlemler sırasında küme, yürütme zincirinin başlarında PowerShell aracılığıyla indirdiği ve kodunu çözdüğü kodlanmış ek aşamaları barındırmak için GitHub, Vimeo ve Ars Technica gibi üçüncü taraf web sitelerine güveniyor."

2020'nin sonlarından bu yana aktif olan UNC4990, komuta ve kontrol (C2) amacıyla İtalyan altyapısının kapsamlı kullanımına dayalı olarak İtalya dışında faaliyet gösterdiği değerlendiriliyor.

UNC4990'nin yalnızca diğer aktörler için ilk erişim kolaylaştırıcısı olarak işlev görüp görmediği şu anda bilinmemektedir. Tehdit aktörünün nihai hedefi de net değil, ancak bir örnekte açık kaynaklı bir kripto para madencisinin aylarca süren işaret faaliyetinden sonra konuşlandırıldığı söyleniyor.

Kampanyanın ayrıntıları daha önce Aralık 2023'ün başlarında Fortgale ve Yoroi tarafından belgelenmişti ve ilki düşmanı Nebula Broker adı altında takip ediyordu.

Enfeksiyon, bir kurbanın çıkarılabilir bir USB cihazındaki kötü amaçlı bir LNK kısayol dosyasına çift tıklamasıyla başlar ve Vimeo'da barındırılan başka bir intermedia PowerShell komut dosyası aracılığıyla uzak bir sunucudan EMPTYSPACE'i (diğer adıyla BrokerLoader veya Vetta Loader) indirmekten sorumlu bir PowerShell komut dosyasının yürütülmesine yol açar.

Yoroi, Golang, .NET, Node.js ve Python'da yazılmış dört farklı EMPTYSPACE varyantı tanımladığını ve daha sonra QUIETBOARD adlı bir arka kapı da dahil olmak üzere C2 sunucusundan HTTP üzerinden sonraki aşama yüklerini almak için bir kanal görevi gördüğünü söyledi.

Bu aşamanın dikkate değer bir yönü, kötü amaçlı yükü barındırmak için Ars Technica, GitHub, GitLab ve Vimeo gibi popüler sitelerin kullanılmasıdır.

Mandiant araştırmacıları, "Bu hizmetlerde barındırılan içerik, bu hizmetlerin günlük kullanıcıları için doğrudan bir risk oluşturmadı, çünkü tek başına barındırılan içerik tamamen iyi huyluydu" dedi. "Geçmişte yanlışlıkla bu içeriğe tıklamış veya görüntülemiş olabilecek hiç kimse tehlikeye girme riski altında değildi."

QUIETBOARD ise isteğe bağlı komutlar yürütmesine, fon transferlerini kontrolleri altındaki cüzdanlara yönlendirmek için panoya kopyalanan kripto cüzdan adreslerini değiştirmesine, kötü amaçlı yazılımı çıkarılabilir sürücülere yaymasına, ekran görüntüsü almasına ve sistem bilgilerini toplamasına olanak tanıyan çok çeşitli özelliklere sahip Python tabanlı bir arka kapıdır.

Ek olarak, arka kapı modüler genişletme ve madeni para madencileri gibi bağımsız Python modüllerini çalıştırmanın yanı sıra Python kodunu C2 sunucusundan dinamik olarak alıp yürütme yeteneğine sahiptir.

Mandiant, "Hem EMPTYSPACE hem de QUIETBOARD'un analizi, tehdit aktörlerinin araç setlerini geliştirirken nasıl modüler bir yaklaşım benimsediklerini gösteriyor" dedi.

"EMPTYSPACE indiricisinin farklı sürümlerini oluşturmak için birden fazla programlama dilinin kullanılması ve Vimeo videosu kaldırıldığında URL değişikliği, tehdit aktörleri tarafında deney ve uyarlanabilirlik için bir yatkınlık gösteriyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.