Siber Muhbir

Siber güvenlik şirketi NSFOCUS, DarkCasino'yu ilk olarak 2021'de ortaya çıkan "ekonomik olarak motive edilmiş" bir aktör olarak tanımladı.

Şirket bir analizde, "DarkCasino, çeşitli popüler APT saldırı teknolojilerini saldırı sürecine entegre etmede iyi olan, güçlü teknik ve öğrenme yeteneğine sahip bir APT tehdit aktörüdür" dedi.

"APT grubu DarkCasino tarafından başlatılan saldırılar çok sık görülüyor ve çevrimiçi mülkleri çalmak için güçlü bir istek gösteriyor."

DarkCasino en son, kötü amaçlı yükleri başlatmak için silah haline getirilebilen bir güvenlik açığı olan CVE-2023-38831'in (CVSS puanı: 7.8) sıfır gün istismarıyla bağlantılıydı.

Ağustos 2023'te Group-IB, güvenlik açığını silahlandıran ve en azından Nisan 2023'ten bu yana DarkCasino'ya atfedilen bir Visual Basic truva atı olan DarkMe adlı son bir yükü teslim etmek için çevrimiçi ticaret forumlarını hedef alan gerçek dünya saldırılarını ifşa etti.

Kötü amaçlı yazılım, ana bilgisayar bilgilerini toplamak, ekran görüntüleri almak, dosyaları ve Windows Kayıt Defterini değiştirmek, rastgele komutlar yürütmek ve güvenliği ihlal edilmiş ana bilgisayarda kendini güncellemek için donatılmıştır.

DarkCasino daha önce Avrupa ve Asya çevrimiçi kumar, kripto para birimi ve kredi platformlarını hedef alan EvilNum grubu tarafından düzenlenen bir kimlik avı kampanyası olarak sınıflandırılırken, NSFOCUS, düşmanın faaliyetlerini sürekli izlemesinin, bilinen tehdit aktörleriyle olası bağlantıları dışlamasına izin verdiğini söyledi.

Tehdit aktörünün kesin kaynağı şu anda bilinmiyor.

"İlk günlerde, DarkCasino esas olarak Akdeniz çevresindeki ülkelerde ve çevrimiçi finansal hizmetleri kullanan diğer Asya ülkelerinde faaliyet gösteriyordu" dedi.

"Daha yakın zamanlarda, kimlik avı yöntemlerinin değişmesiyle birlikte, saldırıları, Güney Kore ve Vietnam gibi İngilizce konuşulmayan Asya ülkeleri de dahil olmak üzere dünya çapındaki kripto para kullanıcılarına ulaştı."

Son aylarda APT28, APT40, Dark Pink, Ghostwriter, Konni ve Sandworm dahil olmak üzere birden fazla tehdit aktörü CVE-2023-38831 istismar kervanına katıldı.

Ghostwriter'ın bu açıktan yararlanan saldırı zincirlerinin, diğer yükler için yükleyici görevi gören bir ara kötü amaçlı yazılım olan PicassoLoader'ın önünü açtığı gözlemlendi.

NSFOCUS, "APT grubu DarkCasino tarafından getirilen WinRAR güvenlik açığı CVE-2023-38831, 2023'ün ikinci yarısında APT saldırı durumuna belirsizlikler getiriyor" dedi.

"Birçok APT grubu, hedeflerin koruma sistemini atlamayı ve amaçlarına ulaşmayı umarak, hükümetler gibi kritik hedeflere saldırmak için bu güvenlik açığının pencere döneminden yararlandı."