Uyarı: Water Curupira Bilgisayar Korsanları PikaBot Loader Kötü Amaçlı Yazılımını Aktif Olarak Dağıtıyor
Water Curupira adlı bir tehdit aktörünün, 2023'te spam kampanyalarının bir parçası olarak PikaBot yükleyici kötü amaçlı yazılımını aktif olarak dağıttığı gözlemlendi.
Trend Micro bugün yayınlanan bir raporda, "PikaBot'un operatörleri, yetkisiz uzaktan erişim sağlayan ve komuta ve kontrol (C&C) sunucularıyla kurulan bir bağlantı aracılığıyla rastgele komutların yürütülmesine izin veren iki bileşeni (bir yükleyici ve bir çekirdek modül) aracılığıyla kurbanları hedef alan kimlik avı kampanyaları yürüttü" dedi.
Faaliyet, 2023'ün ilk çeyreğinde başladı ve Eylül ayında tekrar hızlanmadan önce Haziran ayının sonuna kadar sürdü. Ayrıca, QakBot'u sunmak için benzer taktikler kullanan, özellikle TA571 ve TA577 olarak bilinen siber suç grupları tarafından düzenlenen önceki kampanyalarla da örtüşüyor.
PikaBot ile ilgili kimlik avı kampanyalarının sayısındaki artışın, QakBot'un Ağustos ayında yayından kaldırılmasının bir sonucu olduğuna ve DarkGate'in başka bir yedek olarak ortaya çıktığına inanılıyor.
PikaBot öncelikle bir yükleyicidir, yani genellikle fidye yazılımı dağıtımı için bir öncü görevi gören meşru bir istismar sonrası araç seti olan Cobalt Strike da dahil olmak üzere başka bir yükü başlatmak için tasarlanmıştır.
Saldırı zincirleri, alıcıları kötü amaçlı bağlantıları veya ekleri açmaları için kandırmak için mevcut e-posta dizilerini kullanarak kötü amaçlı yazılım yürütme sırasını etkili bir şekilde etkinleştirerek e-posta dizisi ele geçirme adı verilen bir teknikten yararlanır.
JavaScript veya IMG dosyalarını içeren ZIP arşiv ekleri, PikaBot için bir başlatma rampası olarak kullanılır. Kötü amaçlı yazılım, sistemin dilini kontrol eder ve Rusça veya Ukraynaca olması durumunda yürütmeyi durdurur.
Bir sonraki adımda, kurbanın sistemiyle ilgili ayrıntıları toplar ve bunları JSON formatında bir C&C sunucusuna iletir. Water Curupira'nın kampanyaları, daha sonra Black Basta fidye yazılımının konuşlandırılmasına yol açan Cobalt Strike'ı düşürme amaçlıdır.
Trend Micro, "Tehdit aktörü ayrıca 2023'ün üçüncü çeyreğinin ilk haftalarında birkaç DarkGate spam kampanyası ve az sayıda IcedID kampanyası yürüttü, ancak o zamandan beri yalnızca PikaBot'a yöneldi" dedi.
Güncelleştirmek
Yorum için ulaşıldığında Proofpoint, Water Curupira'nın TA577 adı altında izlediği etkinlikle örtüştüğünü söyledi.
"TA577, en gelişmiş e-suç tehdit aktörlerinden biridir [...] Proofpoint'in kıdemli tehdit istihbaratı analisti Selena Larson, "ve tarihsel olarak QBot kötü amaçlı yazılımının ana dağıtıcılarından biriydi" dedi.
"Ağustos ayında açıklanan QBot kesintisinden sonra, TA577 normal yaz tatilinden biraz daha uzun süre hareketsiz kaldı, ancak daha sonra Eylül ayının sonunda DarkGate ve PikaBot'un bir karışımını sunan yüksek hacimli kampanyalar yürütmek için tehdit ortamına geri döndü. TA571'in PikaBot'u teslim ettiğini gözlemlemedik."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı