Vietnamlı Bilgisayar Korsanları DarkGate Kötü Amaçlı Yazılımıyla İngiltere, ABD ve Hindistan'ı Hedef Alıyor
Birleşik Krallık, ABD ve Hindistan'daki varlıkları hedef alan DarkGate emtia kötü amaçlı yazılımından yararlanan saldırılar, kötü şöhretli Ducktail hırsızının kullanımıyla ilişkili Vietnamlı aktörlerle ilişkilendirildi.
Birleşik Krallık, ABD ve Hindistan'daki varlıkları hedef alan DarkGate emtia kötü amaçlı yazılımından yararlanan saldırılar, kötü şöhretli Ducktail hırsızının kullanımıyla ilişkili Vietnamlı aktörlerle ilişkilendirildi.
WithSecure bugün yayınlanan bir raporda, "Araçların ve kampanyaların örtüşmesi, büyük olasılıkla bir siber suç pazarının etkilerinden kaynaklanıyor" dedi. "Tehdit aktörleri aynı amaç için birden fazla farklı araç edinebilir ve kullanabilir ve tek yapmaları gereken hedefler, kampanyalar ve tuzaklar bulmaktır."
Gelişme, son aylarda DarkGate'i kullanan kötü amaçlı yazılım kampanyalarındaki artışın ortasında geldi ve bunun başlıca nedeni, yazarının 2018'den beri özel olarak kullandıktan sonra diğer tehdit aktörlerine hizmet olarak kötü amaçlı yazılım (MaaS) temelinde kiralama kararıydı.
Sadece DarkGate ve Ducktail değil, bu kampanyalardan sorumlu Vietnamlı tehdit aktörü kümesi, LOBSHOT ve RedLine Stealer'ı da sunmak için aynı veya çok benzer yemlerden, temalardan, hedeflemeden ve dağıtım yöntemlerinden yararlanıyor.
DarkGate'i dağıtan saldırı zincirleri, kimlik avı e-postaları veya Skype veya Microsoft Teams'deki mesajlar yoluyla gönderilen bir Visual Basic Komut Dosyası aracılığıyla alınan AutoIt komut dosyalarının kullanılmasıyla karakterize edilir. AutoIt komut dosyasının yürütülmesi, DarkGate'in konuşlandırılmasına yol açar.
Ancak bu durumda, ilk enfeksiyon vektörü, kurbanı Ducktail aktörleri tarafından yaygın olarak kullanılan bir teknik olan Google Drive'da barındırılan bir dosyaya yönlendiren bir LinkedIn mesajıydı.
WithSecure, "Ducktail ve DarkGate'i sunmak için çok benzer kampanya temaları ve yemleri kullanıldı," dedi, ancak son aşamanın işlevi büyük ölçüde farklılık gösteriyor.
Ducktail bir hırsız olarak işlev görürken, DarkGate, arka kapı erişimi için güvenliği ihlal edilmiş ana bilgisayarlarda gizli kalıcılık sağlayan bilgi çalma yeteneklerine sahip bir uzaktan erişim truva atıdır (RAT).
WithSecure'un kıdemli tehdit istihbaratı analisti güvenlik araştırmacısı Stephen Robinson, "DarkGate uzun süredir var ve sadece Vietnam'daki bu grup veya küme tarafından değil, birçok grup tarafından farklı amaçlar için kullanılıyor" dedi.
"Bunun diğer tarafı, aktörlerin aynı kampanya için birden fazla araç kullanabilmesidir, bu da faaliyetlerinin gerçek kapsamını tamamen kötü amaçlı yazılım tabanlı analizden gizleyebilir."
Benzer Haberler
DigiCert, Alan Adı Doğrulama Gözetimi Nedeniyle 83,000+ SSL Sertifikasını İptal Edecek
Sahibinden.com alan adını yenilemeyi mi unuttu?
Toyota Almanya, Fidye Yazılımı Saldırısında Müşteri Verilerinin Çalındığını Söyledi
Yeni Bluetooth Kusuru, Bilgisayar Korsanlarının Android, Linux, macOS ve iOS Cihazlarını Ele Geçirmesine İzin Veriyor
Microsoft, Büyük Güvenlik Sarsıntısında Yeni CISO'yu İşe Aldı
K. Koreli Bilgisayar Korsanları, Tespit Edilmekten Kaçınmak için macOS Kötü Amaçlı Yazılım Taktiklerini 'Karıştırıyor'
Biden CISO Arıyor
SideCopy, Hindistan Devlet Kurumlarını Hedef Alan Saldırılarda WinRAR Kusurundan Yararlanıyor