YoroTrooper: Araştırmacılar Kazakistan'ın Gizli Siber Casusluk Grubu Konusunda Uyardı
YoroTrooper olarak bilinen nispeten yeni bir tehdit aktörü, muhtemelen Kazakistan kökenli operatörlerden oluşuyor.
Cisco Talos'tan gelen değerlendirme, Kazakça ve Rusça'daki akıcılıklarına, işletme altyapısı için ödeme yapmak için Tenge'yi kullanmalarına ve hükümetin Yolsuzlukla Mücadele Dairesi dışında Kazakistan kuruluşlarının çok sınırlı bir şekilde hedeflenmesine dayanıyor.
Güvenlik araştırmacıları Asheer Malhotra ve Vitor Ventura, "YoroTrooper, kötü niyetli faaliyetlerinin Azerbaycan'dan kaynaklanıyormuş gibi görünmesini sağlamak için o bölgeye özgü VPN çıkış düğümlerini kullanmak gibi çeşitli taktikler kullanarak operasyonlarının kökenini gizlemeye çalışıyor" dedi.
Siber güvenlik şirketi tarafından ilk olarak Mart 2023'te belgelenen düşmanın, en az Haziran 2022'den beri aktif olduğu ve Bağımsız Devletler Topluluğu (BDT) ülkelerindeki çeşitli devlete ait kuruluşları seçtiği biliniyor. Slovak siber güvenlik firması ESET, etkinliği SturgeonPhisher adı altında izliyor.
YoroTrooper'ın saldırı döngüleri, bir dizi emtia ve açık kaynaklı hırsız kötü amaçlı yazılım dağıtmak için öncelikle hedef odaklı kimlik avına dayanır, ancak grubun kurbanları saldırgan tarafından kontrol edilen kimlik bilgisi toplama sitelerine yönlendirmek için ilk erişim vektörünü kullandığı da gözlemlenmiştir.
Araştırmacılar, "Kimlik bilgisi toplama uygulaması, YoroTrooper'ın kötü amaçlı yazılım tabanlı operasyonlarını tamamlayıcı niteliktedir ve nihai hedef veri hırsızlığıdır" dedi.
Tehdit aktörünün kampanyalarının kamuya açıklanması, ticari kötü amaçlı yazılımlardan Python, PowerShell, Golang ve Rust'ta programlanmış özel araçlara geçerek cephaneliğinin taktiksel bir şekilde yenilenmesine neden oldu.
Aktörün Kazakistan ile olan güçlü bağları, devlete ait e-posta hizmeti mail'in güvenlik taramalarını düzenli olarak yapmasından kaynaklanıyor. KZ, web sitesini potansiyel güvenlik açıklarına karşı izleme çabalarının devam ettiğini gösterir.
Ayrıca, Google'da Tenge ve Bitcoin arasındaki para birimi dönüştürme oranlarını periyodik olarak kontrol eder ("btc'den kzt'ye") ve alfachange[.] com, Tenge'yi Bitcoin'e dönüştürmek ve altyapı bakımı için ödeme yapmak için.
Haziran 2023'ten itibaren YoroTrooper'ın BDT ülkelerini hedef almasına, kurban ağlarını bulmak ve sızmak için Acunetix gibi güvenlik açığı tarayıcılarını ve Shodan gibi arama motorlarından gelen açık kaynaklı verileri kullanırken, ısmarlama implantlara daha fazla odaklanma eşlik etti.
Hedeflerden bazıları Tacikistan Ticaret Odası, Uyuşturucu Kontrol Ajansı, Dışişleri Bakanlığı, Kırgızistan Kırgız Kumur ve Özbekistan Cumhuriyeti Enerji Bakanlığı'dır.
Dikkate değer bir diğer husus, bir NordVPN aboneliği ve netx'ten bir VPS örneği de dahil olmak üzere araç ve hizmetleri kaydetmek ve satın almak için e-posta hesaplarının kullanılmasıdır[.] Ayda 16 dolara barındırma.
Enfeksiyon zincirinde yapılan büyük bir güncelleme, Python tabanlı uzaktan erişim truva atının (RAT) PowerShell'e taşınmasını ve cmd.exe aracılığıyla virüslü uç noktalarda komutları çalıştırmak için özel olarak oluşturulmuş etkileşimli bir ters kabuk kullanılmasını gerektirir. PowerShell RAT, gelen komutları kabul etmek ve Telegram aracılığıyla veri sızdırmak için tasarlanmıştır.
YoroTrooper'ın arka kapıları için birden fazla teslimat aracı türünü denemenin yanı sıra, Eylül 2023 itibariyle Golang ve Rust tabanlı kötü amaçlı yazılımlar ekleyerek ters kabuk oluşturmasına ve hassas verileri toplamasına izin verdiği söyleniyor.
Araştırmacılar, "Golang tabanlı implantları, dosya hırsızlığı ve C2 iletişimi için Telegram kanallarını kullanan Python tabanlı RAT'ın bağlantı noktalarıdır" dedi.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı