PikaBot, Kolaylaştırılmış Kod ve Aldatıcı Taktiklerle Yeniden Ortaya Çıkıyor

Zscaler ThreatLabz araştırmacısı Nikolaos Pantazopoulos, "Yeni bir geliştirme döngüsü ve test aşamasında gibi görünse de, geliştiriciler gelişmiş gizleme tekniklerini kaldırarak ve ağ iletişimini değiştirerek kodun karmaşıklığını azalttı" dedi.

Siber güvenlik firması tarafından ilk olarak Mayıs 2023'te belgelenen PikaBot, bir komuta ve kontrol (C2) sunucusundan komutlar yürütebilen ve yük enjekte edebilen ve ayrıca saldırganın virüslü ana bilgisayarı kontrol etmesine izin verebilen bir kötü amaçlı yazılım yükleyici ve arka kapıdır.

Ayrıca, sistemin dilinin Rusça veya Ukraynaca olması durumunda, operatörlerin Rusya veya Ukrayna'da bulunduğunu gösteren yürütmeyi durdurduğu da bilinmektedir.

Son aylarda, hem PikaBot hem de DarkGate adlı başka bir yükleyici, kimlik avı kampanyaları yoluyla hedef ağlara ilk erişimi elde etmek ve Cobalt Strike'ı bırakmak için Water Curupira (diğer adıyla TA577) gibi tehdit aktörlerinin yerine çekici bir alternatif olarak ortaya çıktı.

Malwarebytes ve eSentire'ın birden fazla raporuna göre, WorkersDevBackdoorParallax RAT ve SolarMarker gibi diğer kötü amaçlı yazılım ailelerini sunmak için benimsenen bir teknik olan PikaBot'un AnyDesk, Slack ve Zoom gibi meşru yazılımlar sunduğunu iddia eden kötü amaçlı reklamlar ve web siteleri aracılığıyla dağıtıldığı da gözlemlendi.

Zscaler'ın bu ay gözlemlenen PikaBot'un yeni bir sürümünün (sürüm 1.18.32) analizi, daha basit şifreleme algoritmalarıyla da olsa gizlemeye ve analize direnme çabalarının bir parçası olarak geçerli talimatlar arasına gereksiz kod eklemeye odaklanmaya devam ettiğini ortaya koydu.

En son yinelemede gözlemlenen bir diğer önemli değişiklik, QakBot'unkine benzer olan tüm bot yapılandırmasının, her bir öğeyi şifrelemek ve çalışma zamanında kodunu çözmek yerine, tek bir bellek bloğunda düz metin olarak saklanmasıdır.

Üçüncü bir değişiklik, kötü amaçlı yazılım geliştiricilerinin trafiği güvence altına almak için kullanılan komut kimliklerini ve şifreleme algoritmasını değiştirmesiyle C2 sunucu ağ iletişimiyle ilgilidir.

Araştırmacılar, "Son zamanlardaki hareketsizliğine rağmen, PikaBot önemli bir siber tehdit olmaya ve sürekli gelişmeye devam ediyor" dedi.

"Ancak geliştiriciler, gelişmiş gizleme özelliklerini kaldırarak farklı bir yaklaşım benimsemeye ve PikaBot'un kodunun karmaşıklık seviyesini azaltmaya karar verdiler."

Gelişme, Proofpoint'in düzinelerce Microsoft Azure ortamını hedef alan ve üst düzey yöneticilere ait olanlar da dahil olmak üzere yüzlerce kullanıcı hesabını tehlikeye atan devam eden bir bulut hesabı devralma (ATO) kampanyası konusunda uyarmasıyla geldi.

Kasım 2023'ten bu yana devam eden etkinlik, kimlik bilgisi toplama için kötü amaçlı kimlik avı web sayfalarına bağlantılar içeren tuzak dosyalar taşıyan kişiselleştirilmiş kimlik avı tuzaklarına sahip kullanıcıları seçiyor ve bunları takip eden veri hırsızlığı, dahili ve harici kimlik avı ve mali dolandırıcılık için kullanıyor.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği