PikaBot, Kolaylaştırılmış Kod ve Aldatıcı Taktiklerle Yeniden Ortaya Çıkıyor
PikaBot kötü amaçlı yazılımının arkasındaki tehdit aktörleri, "gerileme" olarak tanımlanan kötü amaçlı yazılımda önemli değişiklikler yaptı.
Zscaler ThreatLabz araştırmacısı Nikolaos Pantazopoulos, "Yeni bir geliştirme döngüsü ve test aşamasında gibi görünse de, geliştiriciler gelişmiş gizleme tekniklerini kaldırarak ve ağ iletişimini değiştirerek kodun karmaşıklığını azalttı" dedi.
Siber güvenlik firması tarafından ilk olarak Mayıs 2023'te belgelenen PikaBot, bir komuta ve kontrol (C2) sunucusundan komutlar yürütebilen ve yük enjekte edebilen ve ayrıca saldırganın virüslü ana bilgisayarı kontrol etmesine izin verebilen bir kötü amaçlı yazılım yükleyici ve arka kapıdır.
Ayrıca, sistemin dilinin Rusça veya Ukraynaca olması durumunda, operatörlerin Rusya veya Ukrayna'da bulunduğunu gösteren yürütmeyi durdurduğu da bilinmektedir.
Son aylarda, hem PikaBot hem de DarkGate adlı başka bir yükleyici, kimlik avı kampanyaları yoluyla hedef ağlara ilk erişimi elde etmek ve Cobalt Strike'ı bırakmak için Water Curupira (diğer adıyla TA577) gibi tehdit aktörlerinin yerine çekici bir alternatif olarak ortaya çıktı.
Malwarebytes ve eSentire'ın birden fazla raporuna göre, WorkersDevBackdoor, Parallax RAT ve SolarMarker gibi diğer kötü amaçlı yazılım ailelerini sunmak için benimsenen bir teknik olan PikaBot'un AnyDesk, Slack ve Zoom gibi meşru yazılımlar sunduğunu iddia eden kötü amaçlı reklamlar ve web siteleri aracılığıyla dağıtıldığı da gözlemlendi.
Zscaler'ın bu ay gözlemlenen PikaBot'un yeni bir sürümünün (sürüm 1.18.32) analizi, daha basit şifreleme algoritmalarıyla da olsa gizlemeye ve analize direnme çabalarının bir parçası olarak geçerli talimatlar arasına gereksiz kod eklemeye odaklanmaya devam ettiğini ortaya koydu.
En son yinelemede gözlemlenen bir diğer önemli değişiklik, QakBot'unkine benzer olan tüm bot yapılandırmasının, her bir öğeyi şifrelemek ve çalışma zamanında kodunu çözmek yerine, tek bir bellek bloğunda düz metin olarak saklanmasıdır.
Üçüncü bir değişiklik, kötü amaçlı yazılım geliştiricilerinin trafiği güvence altına almak için kullanılan komut kimliklerini ve şifreleme algoritmasını değiştirmesiyle C2 sunucu ağ iletişimiyle ilgilidir.
Araştırmacılar, "Son zamanlardaki hareketsizliğine rağmen, PikaBot önemli bir siber tehdit olmaya ve sürekli gelişmeye devam ediyor" dedi.
"Ancak geliştiriciler, gelişmiş gizleme özelliklerini kaldırarak farklı bir yaklaşım benimsemeye ve PikaBot'un kodunun karmaşıklık seviyesini azaltmaya karar verdiler."
Gelişme, Proofpoint'in düzinelerce Microsoft Azure ortamını hedef alan ve üst düzey yöneticilere ait olanlar da dahil olmak üzere yüzlerce kullanıcı hesabını tehlikeye atan devam eden bir bulut hesabı devralma (ATO) kampanyası konusunda uyarmasıyla geldi.
Kasım 2023'ten bu yana devam eden etkinlik, kimlik bilgisi toplama için kötü amaçlı kimlik avı web sayfalarına bağlantılar içeren tuzak dosyalar taşıyan kişiselleştirilmiş kimlik avı tuzaklarına sahip kullanıcıları seçiyor ve bunları takip eden veri hırsızlığı, dahili ve harici kimlik avı ve mali dolandırıcılık için kullanıyor.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı