Siber Muhbir

Trend Micro bugün yayınlanan bir raporda, "PikaBot'un operatörleri, yetkisiz uzaktan erişim sağlayan ve komuta ve kontrol (C&C) sunucularıyla kurulan bir bağlantı aracılığıyla rastgele komutların yürütülmesine izin veren iki bileşeni (bir yükleyici ve bir çekirdek modül) aracılığıyla kurbanları hedef alan kimlik avı kampanyaları yürüttü" dedi.

Faaliyet, 2023'ün ilk çeyreğinde başladı ve Eylül ayında tekrar hızlanmadan önce Haziran ayının sonuna kadar sürdü. Ayrıca, QakBot'u sunmak için benzer taktikler kullanan, özellikle TA571 ve TA577 olarak bilinen siber suç grupları tarafından düzenlenen önceki kampanyalarla da örtüşüyor.

PikaBot ile ilgili kimlik avı kampanyalarının sayısındaki artışın, QakBot'un Ağustos ayında yayından kaldırılmasının bir sonucu olduğuna ve DarkGate'in başka bir yedek olarak ortaya çıktığına inanılıyor.

PikaBot öncelikle bir yükleyicidir, yani genellikle fidye yazılımı dağıtımı için bir öncü görevi gören meşru bir istismar sonrası araç seti olan Cobalt Strike da dahil olmak üzere başka bir yükü başlatmak için tasarlanmıştır.

Saldırı zincirleri, alıcıları kötü amaçlı bağlantıları veya ekleri açmaları için kandırmak için mevcut e-posta dizilerini kullanarak kötü amaçlı yazılım yürütme sırasını etkili bir şekilde etkinleştirerek e-posta dizisi ele geçirme adı verilen bir teknikten yararlanır.

JavaScript veya IMG dosyalarını içeren ZIP arşiv ekleri, PikaBot için bir başlatma rampası olarak kullanılır. Kötü amaçlı yazılım, sistemin dilini kontrol eder ve Rusça veya Ukraynaca olması durumunda yürütmeyi durdurur.

Bir sonraki adımda, kurbanın sistemiyle ilgili ayrıntıları toplar ve bunları JSON formatında bir C&C sunucusuna iletir. Water Curupira'nın kampanyaları, daha sonra Black Basta fidye yazılımının konuşlandırılmasına yol açan Cobalt Strike'ı düşürme amaçlıdır.

Trend Micro, "Tehdit aktörü ayrıca 2023'ün üçüncü çeyreğinin ilk haftalarında birkaç DarkGate spam kampanyası ve az sayıda IcedID kampanyası yürüttü, ancak o zamandan beri yalnızca PikaBot'a yöneldi" dedi.

Güncelleştirmek

Yorum için ulaşıldığında Proofpoint, Water Curupira'nın TA577 adı altında izlediği etkinlikle örtüştüğünü söyledi.

"TA577, en gelişmiş e-suç tehdit aktörlerinden biridir [...] Proofpoint'in kıdemli tehdit istihbaratı analisti Selena Larson, "ve tarihsel olarak QBot kötü amaçlı yazılımının ana dağıtıcılarından biriydi" dedi.

"Ağustos ayında açıklanan QBot kesintisinden sonra, TA577 normal yaz tatilinden biraz daha uzun süre hareketsiz kaldı, ancak daha sonra Eylül ayının sonunda DarkGate ve PikaBot'un bir karışımını sunan yüksek hacimli kampanyalar yürütmek için tehdit ortamına geri döndü. TA571'in PikaBot'u teslim ettiğini gözlemlemedik."