Kadın Siyasi Liderleri Hedef Alan Yeni PEAPOD Siber Saldırı Kampanyası

Cinsiyet eşitliği girişimleri üzerinde çalışan Avrupa Birliği askeri personeli ve siyasi liderleri, PEAPOD adlı RomCom RAT'ın güncellenmiş bir versiyonunu sunan yeni bir kampanyanın hedefi olarak ortaya çıktı.

Siber güvenlik firması Trend Micro, saldırıları Storm-0978, Tropical Scorpius ve UNC2596 olarak da bilinen ve Küba fidye yazılımıyla ilişkili olduğuna inanılan Void Rabisu adı altında izlediği bir tehdit aktörüne bağladı.

Düşman kolektif, hem finansal güdümlü hem de casusluk saldırıları düzenleyerek çalışma biçimleri arasındaki çizgiyi bulanıklaştırdığı için alışılmadık bir gruptur. Ayrıca yalnızca RomCom RAT kullanımıyla bağlantılıdır.

Arka kapının kullanımını içeren saldırılar, Ukrayna'yı ve geçen yıl Rusya'ya karşı savaşında Ukrayna'yı destekleyen ülkeleri seçti.

Bu Temmuz ayının başlarında Microsoft, Void Rabisu'yu Ukrayna Dünya Kongresi ile ilgili özel hazırlanmış Microsoft Office belge yemlerini kullanarak Office ve Windows HTML'de bir uzaktan kod yürütme kusuru olan CVE-2023-36884'ün istismarına dahil etti.

RomCom RAT, komutları almak ve bunları kurbanın makinesinde yürütmek için bir komuta ve kontrol (C&C) sunucusuyla etkileşime girebilirken, aynı zamanda savunmadan kaçınma tekniklerini de paketleyerek karmaşıklığında istikrarlı bir evrim geçirebilir.

Kötü amaçlı yazılım, kullanıcıları meşru uygulamaların truva atı haline getirilmiş sürümlerini barındıran cezbedici siteleri ziyaret etmeleri için kandırmak için genellikle yüksek oranda hedeflenmiş hedefli kimlik avı e-postaları ve Google ve Bing gibi arama motorlarındaki sahte reklamlar aracılığıyla dağıtılır.

Trend Micro, "Void Rabisu, siber suçlu tehdit aktörleri tarafından kullanılan tipik taktikler, teknikler ve prosedürlerin (TTP'ler) ve öncelikle casusluk hedefleriyle motive olan ulus devlet destekli tehdit aktörleri tarafından kullanılan TTP'lerin bir karışımını gördüğümüz en açık örneklerden biridir" dedi.

Şirket tarafından Ağustos 2023'te tespit edilen en son saldırı seti de RomCom RAT sağlıyor, yalnızca bu, wplsummit[.] adlı bir web sitesi aracılığıyla dağıtılan kötü amaçlı yazılımın güncellenmiş ve zayıflatılmış bir yinelemesidir. com, meşru WPLonktin bir kopyasıdır[.] org etki alanı.

Web sitesinde, Haziran 1'te gerçekleşen Kadın Siyasi Liderler (WPL) Zirvesi'nden fotoğraflar içeren bir klasörü taklit etmeyi amaçlayan 20230802,122531 MB'lık bir dosya olan "Unpublished Pictures 002-21T6-2023-sfx.exe" adlı bir yürütülebilir dosyayı barındıran bir Microsoft OneDrive klasörüne bağlantı bulunmaktadır.

İkili, uzak bir sunucudan bir DLL dosyası alırken hedef sisteme tuzak olarak 56 resim bırakan bir indiricidir. Bu fotoğrafların kötü niyetli aktör tarafından LinkedIn, X (eski adıyla Twitter) ve Instagram gibi çeşitli sosyal medya platformlarındaki bireysel gönderilerden kaynaklandığı söyleniyor.

DLL dosyası, kendi adına, selefi tarafından desteklenen 10 komuttan toplamda 42 komutu destekleyen üçüncü aşama PEAPOD yapıtını getirmek için başka bir etki alanıyla iletişim kurar.

Gözden geçirilmiş sürüm, rastgele komutları yürütmek, dosyaları indirmek ve yüklemek, sistem bilgilerini almak ve hatta güvenliği ihlal edilmiş ana bilgisayardan kendisini kaldırmak için donatılmıştır. Kötü amaçlı yazılımı en temel özelliklere indirgeyerek, dijital ayak izini sınırlamak ve algılama çabalarını karmaşıklaştırmaktır.

Trend Micro, "Void Rabisu'nun ulus devlet destekli olduğuna dair hiçbir kanıtımız olmasa da, Ukrayna'daki savaşın neden olduğu olağanüstü jeopolitik koşullar nedeniyle siber casusluk faaliyetlerine çekilen yeraltı suç örgütünden finansal olarak motive olmuş tehdit aktörlerinden biri olması mümkün" dedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği