Yeni Siber Tehdit Azerbaycan ve İsrailli Diplomatları Hedef Alarak Hassas Verileri Çalıyor
Daha önce bilinmeyen bir tehdit aktörü, hassas verileri çalmak amacıyla Azerbaycan ve İsrail'i hedef alan bir dizi saldırıya bağlandı.
NSFOCUS tarafından 1 Temmuz 2024'te tespit edilen saldırı kampanyası, Azeri ve İsrailli diplomatları ayırmak için hedef odaklı kimlik avı e-postalarından yararlandı. Etkinlik, Actor240524 takma adı altında izleniyor.
Siber güvenlik şirketi geçen hafta yayınlanan bir analizde, "Actor240524, saldırı taktiklerinin ve tekniklerinin aşırı maruz kalmasını önlemek için çeşitli karşı önlemler kullanarak sırları çalma ve dosya verilerini değiştirme yeteneğine sahip" dedi.
Saldırı zincirleri, açıldıktan sonra alıcıları "İçeriği Etkinleştirmeye" ve ABCloader ("MicrosoftWordUpdater.log") kod adlı bir ara yükleyici yükünü yürütmekten sorumlu kötü amaçlı bir makroyu çalıştırmaya teşvik eden Microsoft Word belgelerini taşıyan kimlik avı e-postalarının kullanılmasıyla başlar.
Bir sonraki adımda, ABCloader, ABCsync ("synchronize.dll") adlı bir DLL kötü amaçlı yazılımının şifresini çözmek ve yüklemek için bir kanal görevi görür ve daha sonra uzak bir sunucuyla iletişim kurar ("185.23.253[.] 143") komutları almak ve çalıştırmak için.
NSFOCUS, "Ana işlevi, çalışma ortamını belirlemek, programın şifresini çözmek ve sonraki DLL'yi (ABCsync) yüklemektir" dedi. "Daha sonra çevresel algılama için çeşitli anti-sandbox ve anti-analiz teknikleri uygular."
ABCsync'in öne çıkan işlevlerinden bazıları, uzak kabukları yürütmek, cmd.exe kullanarak komutları çalıştırmak ve sistem bilgilerini ve diğer verileri sızdırmaktır.
Hem ABCloader hem de ABCsync'in önemli dosya yollarını, dosya adlarını, anahtarları, hata mesajlarını ve komut ve kontrol (C2) adreslerini gizlemek için dize şifreleme gibi teknikler kullandığı gözlemlenmiştir. Ayrıca, ekran çözünürlüğünü doğrulayarak işlemlerin bir sanal makinede veya sanal alanda hata ayıklanıp ayıklanmadığını veya yürütülüp yürütülmediğini belirlemek için çeşitli kontroller gerçekleştirirler.
Actor240524 tarafından atılan bir diğer önemli adım, güvenliği ihlal edilmiş sistemde çalışan işlem sayısının 200'den az olup olmadığını incelemesi ve eğer öyleyse kötü amaçlı işlemden çıkmasıdır.
ABCloader ayrıca, ana bilgisayarda kalıcılık ayarlayabilen "synchronize.exe" adlı benzer bir yükleyici ve "vcruntime190.dll" veya "vcruntime220.dll" adlı bir DLL dosyasını başlatmak için tasarlanmıştır.
NSFOCUS, "Azerbaycan ve İsrail, yakın ekonomik ve siyasi alışverişlere sahip müttefik ülkelerdir" dedi. "Actor240524'ün bu seferki operasyonu muhtemelen iki ülke arasındaki işbirliğine dayalı ilişkiyi hedefliyor ve her iki ülkenin diplomatik personeline yönelik kimlik avı saldırılarını hedef alıyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı