ABD, Qakbot kötü amaçlı yazılım liderini gösteriyor

Siber suç, veri gizliliği, veri güvenliği

Ayrıca: sinyal blokları hatırlama, Avrupa yaptırımları keskin endüstriler

Anviksha More (Anvikshamore) •
22 Mayıs 2025

Her hafta, Bilgi Güvenliği Medya Grubu, dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta, Amerika Birleşik Devletleri’nde suçlanan Qakbot Lideri, Signal Windows geri çağırmayı engelledi ve bir yargıç ABD Başkanı Donald Trump’ın gizlilik gözlemcilerini yasadışı bir şekilde kaldırdığına karar verdi. Ayrıca, Ivanti ve Palo Alto Zero Günü’nün aynı tehdit oyuncusu ile bağlantılı istismarları, Marks ve Spencer, siber güvenlik olayının sigortadan önce 300 milyon liraya mal olacağını ve Ukrayna yanlısı hackerlar Rusya kliniğinde bir siber saldırı talep ettiğini ve Rusya’da bir Purerat’ın bir salgını olduğunu söyledi.

Ayrıca bakınız: Bulut Yerli Güvenlik Durumu 2024 Rapor: Kritik bulut güvenlik engellerini ortaya çıkarın

ABD federal savcıları, 2008 yılında bir bankacılık truva atı olarak Qakbot kötü amaçlı yazılım operasyonuna liderlik ettiği için Rus bir adamı suçladılar. 48 yaşındaki Rustam Rafailevich Gallyamov, Qakbot’u Ocak ayında sosyal mühendislik aracılığıyla yaydığı iddia edildi. Savcılar ayrıca Perşembe günü yaklaşık 24 milyon dolarlık Gallyamov’un dijital varlıklarını ele geçirmek için taşındı.

FBI tarafından “Ördek Hunt” olarak adlandırılan uluslararası bir kolluk operasyonu, Ağustos 2023’te QBOT – Botnet olarak da bilinen Qakbot’u sökerek düzinelerce sunucu ve yaklaşık 9 milyon dolarlık kripto para birimi ele geçirdi (bkz: ‘Duck Hunt’ Qakbot’u söküyor).

Bir iddianame açılmamış Perşembe günü, Gallyamov’un siber saldırıları yapmayı asla bırakmadığını ve istenmeyen e -postalarla kurumsal gelen kutuları sular altında bırakan “spam bombası” kampanyaları gibi alternatif taktiklere dayandığını söyledi. Gallyamov ve conspirators, işçilerin e-posta akışını durdurmak, kurbanları kötü amaçlı yazılım yüklemeye kandırmakla görevlendirdikleri için poz verdiler.

Qakbot, bir bankacılık truva atı olarak hayata başladı, ancak 2019’da Gallyamov operasyonu Revil, Conti ve Black Basta gibi gruplarla çalışarak fidye yazılımı saldırılarına odaklanmaya değiştirdi. Savcılar, Nisan ayında 30’dan fazla bitcoin ve 700.000 $ ‘lık USDT Jetens müfettişleri için bir nöbet emri alarak Gallyamov’un kurban gasp ödemeleriyle satın aldığını söyledi. Savcılar Perşembe günü bir hakimin Gallyamov tarafından kaybedilen varlıkları beyan etmeleri için harekete geçti ve savcılar parayı kurbanları bütünleştirmek için kullanacaklarını belirtti.

ABD yetkilileri onu uluslararası iade talepleriyle işbirliği yapmayan Rusya dışında tutuklayabiliyorsa, Gallyamov federal hapishanede 25 yıla kadar karşılaşacaktı.

Signal, Microsoft’un geri çağırma özelliğinin sohbet uygulamasındaki konuşmaların ekran görüntülerini yakalamasını otomatik olarak engellemek için Windows masaüstü uygulamasını güncelledi. Varsayılan olarak etkinleştirilen yeni “Ekran Güvenliği” ayarı, sinyal pencerelerindeki içeriğin geri çağırma veya diğer uygulamalar tarafından kaydedilmesini önlemek için bir DRM bayrağı kullanır.

Mayıs 2024’te Microsoft tarafından tanıtılan hatırlama, yapay zeka kullanarak aranabilir bir günlük oluşturmak için etkin pencereleri sürekli ekran görüntüler. Microsoft daha sonra özelliği seçti ve filtreler, şifreleme ve istismar karşıtı korumalar ekledi.

Sinyal geliştiricisi Joshua Lund, uygulamanın sistem düzeyinde geri çağırmayı engellemek için “başka seçeneği” olmadığını söyledi. Microsoft ek koruma özellikleri sunduktan sonra bile GRIPTRAFILE ve güvenlik endişelerini artırmaya devam etti. Araştırmacı Kevin Beaumont, Nisan ayında Microsoft Marketing’in aksine, biyometrik kimlik bilgilerinin geri çağırmayı açmak için gerekli olmadığını, sadece ayarlamak için yazdı. Hatırlama ayrıca ödeme kartı numaralarını yakaladı, yazdı.

Bir ABD federal yargıç, Başkan Donald Trump’ın ABD gözetimi ve terörle mücadele programlarını denetleyen bağımsız bir organ olan Gizlilik ve Sivil Özgürlükler Gözetim Kurulu’nun iki Demokrat üyesini yasadışı bir şekilde kaldırdığına karar verdi. ABD Bölgesi Columbia Bölgesi Hakimi Reggie Walton, Travis LeBlanc’ın yangınlarını buldu ve Ed Felten, kurulun bağımsızlığını korumak için yasal korumaları ihlal etti.

Walton, kontrolsüz cumhurbaşkanlığı kaldırmalarının kurulun gözetim rolünü zayıflatabileceği konusunda uyardı. Adalet Bakanlığı’nın temyiz etmesi beklenirken, Beyaz Saray, Trump’ın yürütme gücü kullanan yetkilileri görevden alma konusunda anayasal bir otoriteye sahip olduğunu savundu.

Çıkarma, PCLOB Başkanı Sharon Bradford Franklin’in planlanan çıkışının yanı sıra, gözetim çalışmalarını durdurarak, yetersizlik olmadan kuruldan ayrıldı.

Wiz’deki araştırmacılar, bu ay iki Ivanti sıfır günlük güvenlik açıklarından yararlanan bir tehdit oyuncusu da geçen yıl Palo Alto Networks güvenlik duvarlarını hedefledi. Ivanti Kusurları-CVE-2025-4427 “Target =” _ Blank “> CVE-2025-4427 ve CVE-2025-4428- Ivanti EndPoint Manager Mobile Mobile’ı Etkiliyor ve Birlikte Zammetildiğinde Uzak Kod Yürütülmesini Etkinleştiriyor. Saldırılar, 16 Mayıs yaklaşık 16 Mayıs’ta başlamıştı, kanıt-konsept istismarlarının yayınlanmasından kısa bir süre sonra başladı.

Wiz araştırmacıları aynı komut ve kontrol IP adresini buldular, 77.221.158.154hem Ivanti hem de geçmiş Palo Alto saldırılarında kullanıldı. Adres, karanlık web etkinliğine bağlı ve CEO’su geçen ay Moskova’da tutuklanan bir Rus şirketi olan Aeza International tarafından düzenleniyor.

Her iki kampanyada da, bilgisayar korsanları Sliver C2 çerçevesini kullandı ve benzer kötü amaçlı yükler kullandı. Şimdiye kadar Ivanti saldırılarında hiçbir fidye yazılımı veya veri eksfiltrasyonu tespit edilmemiştir.

Araştırmacılar tehdit oyuncusunu bilinen bir gruba veya ulus devlete bağlayamasalar da, altyapının yeniden kullanılması ve konsept kodunun kanıtı, yamalar yaygın olarak uygulanmadan önce kenar cihazlarının fırsatçı hedeflenmesini göstermektedir.

Avrupa Birliği, web-barınma sağlayıcısı Stark Industries ve liderleri, CEO Iurie Neculiti ve sahibi Ivan Neculiti’yi dezenformasyon ve siber saldırılar da dahil olmak üzere Rus hibrit tehditlerini destekledikleri için yaptırım yaptı. İngiltere kayıtlı şirket, kripto para birimi ödeme seçenekleriyle Avrupa ve Amerika Birleşik Devletleri’nde VPS hizmetleri sunduğu bilinmektedir. Avrupa Birliği, şirketi ve yöneticileri “Rusya devlet destekli ve bağlı aktörlerin kolaylaştırıcıları” olarak nitelendirdi.

Stark Industries, Rus yanlısı operasyonlarda ve siber saldırılarda kullanılan altyapıya ev sahipliği yaptığı iddiasıyla kötü şöhret kazandı. Alman kâr amacı gütmeyen kuruluş, Rusya’nın Ukrayna’yı işgalinden hemen önce 2022 lansmanından sonra firmayı dezenformasyon ve DDOS kampanyalarına bağladı.

Yaptırımlar, Rus propagandası, casusluk ve sabotajında ​​yer alan 21 kişiyi ve altı kurumu hedefleyen daha geniş bir Avrupa baskısının bir parçasıdır. Türk firması AFA Medya, Avrupa Voice of Avrupa gibi medya kuruluşları da yaptırımlarla karşı karşıya. Avrupa Birliği, iki balıkçı şirketi, Norebo JSC ve Murman Sea Food’u “, Rusya-devlet sponsorlu bir gözetim kampanyasının bir parçası, casusluk misyonları ve denizaltı kabloları da dahil olmak üzere kritik altyapı üzerinde sabotaj yürütüyor” dedi. Yaptırımlı taraflar, Avrupa finansal erişimine ilişkin varlık dondurmaları, seyahat yasakları ve kısıtlamalarla karşı karşıyadır.

Marks & Spencer, operasyonları bozan bir siber olayın, “maliyet azaltma, sigorta ve ticaret eylemlerinden önce” yaklaşık 300 milyon liraya mal olacağını söyledi. İhlal, kritik bir işlem döneminde ürün mevcudiyetinde büyük bir bozulmaya neden oldu, gönderileri geciktirme ve mağaza içi stok seviyelerini etkiledi (bakınız: Marks & Spencer Hack’e bağlı dağınık örümcek).

M&S, olayın operasyonel verimliliği ciddi şekilde etkilediğini belirterek yıllık bir rapordaki finansal etkiyi açıkladı. Perakendeci, “Teknoloji dönüşümümüzün iyileştirme hızını hızlandırma fırsatından en iyi şekilde yararlanmaya çalışıyoruz ve yeni ve yenilikçi çalışma biçimleri bulduk.” Dedi.

Siber güvenlik firması Fortra, Microsoft Office 365 kimlik bilgilerini hedefleyen bir kimlik avı kampanyası, Techiquesto baypas algılamasının bir karışımını kullanıyor. Şüpheli e -posta analiz ekibi tarafından tespit edilen saldırı, bağlantılı bir .html Dosya, AES şifrelemesi, güvenilir bir içerik dağıtım ağı ve kötü niyetli bir NPM paketi. Fortra, bunun tüm bu yöntemlerin tek bir O365 saldırısında ilk kez birleştirildiğini söyledi. Katmanlı yaklaşım, kimlik avı e -postasının standart gizleme taktiklerine güvenmeden geleneksel güvenlik araçlarından kaçınmasını sağlayarak tespit edilmeyi zorlaştırdı.

Şüpheli bir siber saldırı, bu hafta üç gün boyunca Rusya’nın Chuvashia Cumhuriyeti’ndeki Lecardo Clinic’teki operasyonları kapattı. Özel hastane “teknik başarısızlık” ı suçladı, ancak yetkililer bir telgraf kanalında bilgisayar korsanlarının hasta kayıtlarını yönetmeyi hedeflediğini söyledi. Pro-Ukraine Group 4B1D, klinik direktörünün hesabı, silinmiş sunucular, yedekleme, şifreli ve dışa aktarılan verileri ve 100’den fazla bilgisayardan devre dışı bırakıldığını söyleyerek sorumluluk iddia etti.

Grup, Telegram’da bir röntgen ve hasta verileri de dahil olmak üzere sızdırılmış dosyaları paylaştı ve karanlık web’de yaklaşık 2.000 kayıt sattığını söyledi. Yetkililer, aynı yazılımı kullanan diğer kliniklerin de etkilenebileceğinden şüphelenmektedir. Yerel medya, savcı liderliğindeki bir soruşturma yürüterek güvenlik turları ve gecikmiş raporlama bildirdi.

Kaspersky’deki araştırmacılar, Purerat kötü amaçlı yazılımlar sağlayan kimlik avı saldırılarında bir artış, 2025’in başından beri Rus işletmelerini etkiledi. Mart 2023’te başlayan kampanya, 2025’in ilk yarısında, 2024’teki aynı dönemle karşılaştırıldığında saldırı hacimleri dört katına çıktı. Kaspersky araştırmacıları, bu artışı, neredeyse herhangi bir tehdit oyuncu tarafından satın alma ve dağıtım için mevcut olan Purerat’ın artan popülaritesine bağlıyor.

Saldırganlar öncelikle Purerat’ı kötü niyetli RAR arşivleri veya bu tür dosyalara bağlantılar içeren spam e -postaları aracılığıyla dağıtırlar. Bu arşivler, kullanıcıları yürütmeye kandırmak için “.pdf.rar” gibi bir çift uzantılı olarak “Doc”, “Akt”, “Sverka”, “Buh” ve “Oplata” gibi tanıdık finansal ve idari anahtar kelimeler kullanılarak gizlenir.

Uygulandıktan sonra, kötü amaçlı yazılım kendini adına yükler task.exe Kullanıcının AppData dizininde ve Windows başlangıç ​​klasörüne yerleştirilen bir VBS komut dosyası kullanarak kalıcılığı ayarlar. Daha sonra, tam sistem uzlaşmasıyla sonuçlanan birden fazla yürütülebilir ve modül içeren karmaşık bir enfeksiyon zincirini başlatır.

Geçen haftadan diğer hikayeler

Bilgi Güvenliği Medya Grubu’nun Güney İngiltere’deki Akshaya Ashokan ve New Jersey’deki Greg Sirico’dan raporlama ile.