YoroTrooper: Araştırmacılar Kazakistan'ın Gizli Siber Casusluk Grubu Konusunda Uyardı

Cisco Talos'tan gelen değerlendirme, Kazakça ve Rusça'daki akıcılıklarına, işletme altyapısı için ödeme yapmak için Tenge'yi kullanmalarına ve hükümetin Yolsuzlukla Mücadele Dairesi dışında Kazakistan kuruluşlarının çok sınırlı bir şekilde hedeflenmesine dayanıyor.

Güvenlik araştırmacıları Asheer Malhotra ve Vitor Ventura, "YoroTrooper, kötü niyetli faaliyetlerinin Azerbaycan'dan kaynaklanıyormuş gibi görünmesini sağlamak için o bölgeye özgü VPN çıkış düğümlerini kullanmak gibi çeşitli taktikler kullanarak operasyonlarının kökenini gizlemeye çalışıyor" dedi.

Siber güvenlik şirketi tarafından ilk olarak Mart 2023'te belgelenen düşmanın, en az Haziran 2022'den beri aktif olduğu ve Bağımsız Devletler Topluluğu (BDT) ülkelerindeki çeşitli devlete ait kuruluşları seçtiği biliniyor. Slovak siber güvenlik firması ESET, etkinliği SturgeonPhisher adı altında izliyor.

YoroTrooper'ın saldırı döngüleri, bir dizi emtia ve açık kaynaklı hırsız kötü amaçlı yazılım dağıtmak için öncelikle hedef odaklı kimlik avına dayanır, ancak grubun kurbanları saldırgan tarafından kontrol edilen kimlik bilgisi toplama sitelerine yönlendirmek için ilk erişim vektörünü kullandığı da gözlemlenmiştir.

Araştırmacılar, "Kimlik bilgisi toplama uygulaması, YoroTrooper'ın kötü amaçlı yazılım tabanlı operasyonlarını tamamlayıcı niteliktedir ve nihai hedef veri hırsızlığıdır" dedi.

Tehdit aktörünün kampanyalarının kamuya açıklanması, ticari kötü amaçlı yazılımlardan Python, PowerShell, Golang ve Rust'ta programlanmış özel araçlara geçerek cephaneliğinin taktiksel bir şekilde yenilenmesine neden oldu.

Aktörün Kazakistan ile olan güçlü bağları, devlete ait e-posta hizmeti mail'in güvenlik taramalarını düzenli olarak yapmasından kaynaklanıyor. KZ, web sitesini potansiyel güvenlik açıklarına karşı izleme çabalarının devam ettiğini gösterir.

Ayrıca, Google'da Tenge ve Bitcoin arasındaki para birimi dönüştürme oranlarını periyodik olarak kontrol eder ("btc'den kzt'ye") ve alfachange[.] com, Tenge'yi Bitcoin'e dönüştürmek ve altyapı bakımı için ödeme yapmak için.

Haziran 2023'ten itibaren YoroTrooper'ın BDT ülkelerini hedef almasına, kurban ağlarını bulmak ve sızmak için Acunetix gibi güvenlik açığı tarayıcılarını ve Shodan gibi arama motorlarından gelen açık kaynaklı verileri kullanırken, ısmarlama implantlara daha fazla odaklanma eşlik etti.

Hedeflerden bazıları Tacikistan Ticaret Odası, Uyuşturucu Kontrol Ajansı, Dışişleri Bakanlığı, Kırgızistan Kırgız Kumur ve Özbekistan Cumhuriyeti Enerji Bakanlığı'dır.

Dikkate değer bir diğer husus, bir NordVPN aboneliği ve netx'ten bir VPS örneği de dahil olmak üzere araç ve hizmetleri kaydetmek ve satın almak için e-posta hesaplarının kullanılmasıdır[.] Ayda 16 dolara barındırma.

Enfeksiyon zincirinde yapılan büyük bir güncelleme, Python tabanlı uzaktan erişim truva atının (RAT) PowerShell'e taşınmasını ve cmd.exe aracılığıyla virüslü uç noktalarda komutları çalıştırmak için özel olarak oluşturulmuş etkileşimli bir ters kabuk kullanılmasını gerektirir. PowerShell RAT, gelen komutları kabul etmek ve Telegram aracılığıyla veri sızdırmak için tasarlanmıştır.

YoroTrooper'ın arka kapıları için birden fazla teslimat aracı türünü denemenin yanı sıra, Eylül 2023 itibariyle Golang ve Rust tabanlı kötü amaçlı yazılımlar ekleyerek ters kabuk oluşturmasına ve hassas verileri toplamasına izin verdiği söyleniyor.

Araştırmacılar, "Golang tabanlı implantları, dosya hırsızlığı ve C2 iletişimi için Telegram kanallarını kullanan Python tabanlı RAT'ın bağlantı noktalarıdır" dedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği