Siber Muhbir

Bitdefender tarafından RustDoor kod adı verilen arka kapının, Microsoft Visual Studio için bir güncellemenin kimliğine büründüğü ve hem Intel hem de Arm mimarilerini hedeflediği tespit edildi.

İmplantı yaymak için kullanılan ilk erişim yolu şu anda bilinmemektedir, ancak Mach-O dosyalarını içeren FAT ikili dosyaları olarak dağıtıldığı söylenmektedir.

Bugüne kadar kötü amaçlı yazılımın küçük değişikliklerle birden fazla varyantı tespit edildi ve bu da muhtemelen aktif geliştirmeyi gösteriyor. RustDoor'un en eski örneği 2 Kasım 2023'e kadar uzanıyor.

Dosyaları toplamasına ve yüklemesine ve güvenliği ihlal edilmiş uç nokta hakkında bilgi toplamasına olanak tanıyan çok çeşitli komutlarla birlikte gelir.

Bazı sürümler ayrıca hangi verilerin toplanacağı, hedeflenen uzantıların ve dizinlerin listesi ve hariç tutulacak dizinler hakkında ayrıntılar içeren yapılandırmalar içerir.

Yakalanan bilgiler daha sonra bir komuta ve kontrol (C2) sunucusuna aktarılır.

Rumen siber güvenlik firması, kötü amaçlı yazılımın C2 altyapısındaki çakışmalar nedeniyle Black Basta ve BlackCat gibi önde gelen fidye yazılımı aileleriyle bağlantılı olduğunu söyledi.

Güvenlik araştırmacısı Andrei Lapusneau, "ALPHV/BlackCat, ilk olarak Kasım 2021'de ortaya çıkan ve halka açık sızıntı iş modeline öncülük eden bir fidye yazılımı ailesidir (Rust'ta da yazılmıştır)" dedi.

Aralık 2023'te ABD hükümeti, BlackCat fidye yazılımı operasyonunu kapattığını ve etkilenen 500'den fazla kurbanın kötü amaçlı yazılım tarafından kilitlenen dosyalara yeniden erişim sağlamak için kullanabileceği bir şifre çözme aracı yayınladığını duyurdu.

Güncelleştirmek

Bitdefender'ın tehdit araştırma ve raporlama direktörü Bogdan Botezatu, yaptığı açıklamada, kampanyanın daha önce düşünülenden daha hedefli olabileceğini gösteren yeni kanıtlar bulduklarını söyledi.

"İlk varsayımımız, kötü amaçlı yazılımın kötü amaçlı reklam ve kimliğe bürünme yoluyla yayıldığı yönündeydi (kötü amaçlı yazılımı yayan bazı alan adları, bazı popüler sosyal medya hesaplarına benziyordu)."

"Ancak, yeni bir ipucumuz var - birkaç birinci aşama indirici belirleyebildik - arka kapıyı indirmekten ve yürütmekten sorumlu uygulama paketleri. Bu ilk aşama indiricilerden bazıları, iş teklifleri içeren PDF dosyaları olduğunu iddia ediyor, ancak gerçekte, kötü amaçlı yazılımı indirip yürüten ve aynı zamanda kendisini bir gizlilik sözleşmesi olarak faturalandıran zararsız bir PDF dosyasını indirip açan komut dosyalarıdır.

"Bu yeni bulgular, kötü amaçlı yazılımın bir av tüfeği dağıtım kampanyasında kullanılmak yerine hedefli bir saldırıda kullanıldığına inanmamıza neden oluyor. Bu aynı zamanda, araştırmayı Bitdefender Labs'ta yayınlayana kadar kötü amaçlı yazılımın geniş çapta tespit edilmediğini de açıklıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.