Araştırmacılar, TradingView’i taklit eden kötü amaçlı alan adlarını keşfettiklerinden, Rekoobe arka kapısını kullanan APT31’in popüler bir finansal platform olan TradingView’i hedef aldığı gözlemlendi; bu da platformun kullanıcı topluluğunun tehlikeye atılmasına yönelik potansiyel bir çıkarı ortaya koyuyor.
Araştırmacılar, paylaşılan SSH anahtarlarını analiz ederek, bu kampanyaya ve başka bir açık dizine bağlı ek altyapıyı tespit ederek, APT31’in tespitten kaçınmak ve hassas bilgileri tehlikeye atmak için kullandığı gelişen taktikleri vurguladı.
27.124.45’te açık bir dizin[.]146:9998, 10-13-x64.bin ve 10-13-x86.bin olmak üzere iki Rekoobe kötü amaçlı yazılım ikili dosyasını açığa çıkardı. Her iki ikili dosya da 12345 numaralı bağlantı noktasında aynı IP adresiyle iletişim kurmaya çalıştı.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
X64 ikili dosyası, na.elf, işlem adı değişiklikleri ve /tmp/CCCCCCCC dizinine kendi kendine kopyalama dahil olmak üzere NoodRAT/Noodle RAT’a benzer davranışlar sergiledi. Bu benzerlikler potansiyel bir atıf olduğunu öne sürse de doğrulamak için daha fazla analiz yapılması gerekmektedir.
Arka kapı dosyaları üzerinde yapılan bir araştırma, yasal TradingView web sitesini taklit eden yazım yanlışı alan adlarının fazladan “l” içerdiğini ve bu durumun kazara kullanıcı ziyareti riskini artırdığını ortaya çıkardı.
Etkin bir web sayfası bulunmamasına rağmen Wayback Makinesi, Eylül 2024’te bu alan adları için bir 404 hatası gösterdi; bu, finansal platformlardan ve onların Linux tabanlı kullanıcı tabanından yararlanmaya yönelik olası bir girişimi akla getiriyor.
Bu alanların Rekoobe arka kapısıyla birlikte varlığı, özellikle finansal kurumları hedeflemek amacıyla bir altyapı çakışması olasılığına dikkat çekiyor.
Üç IP adresi (27.124.45[.]231, 1.32.253[.]2 ve 27.124.45[.]211) 27.124.45 ile bağlantılı bulundu[.]Muhtemelen aynı operasyonel kurulumun parçası olan ve Hong Kong’da barındırılan ve aynı Python ve SimpleHTTP sürümlerine sahip açık dizinler ve Rekoobe tarafından algılanan dosyalar dahil olmak üzere benzer özellikler sergileyen paylaşılan SSH anahtarları aracılığıyla 146.
Hunt’a göre 27.124.45[.]211 ayrıca potansiyel olarak kötü niyetli faaliyetler için kullanılabilecek bir siber güvenlik aracı olan Yakit’e de ev sahipliği yapıyor.
Bu araçların ve ortak altyapının varlığı, potansiyel risklerin değerlendirilmesi için daha fazla araştırmayı gerektirmektedir.
Açık bir dizinde Rekoobe arka kapısının keşfedilmesi, TradingView’i taklit eden benzer etki alanlarını ve paylaşılan SSH anahtarları aracılığıyla bağlanan ek sunucuları içeren daha geniş bir kötü amaçlı altyapının tanımlanmasına yol açtı.
Önemli ağ gözlemlenebilirleri arasında IP adresleri, ASN’ler, alanlar, ana bilgisayarlar ve dosya karmaları bulunur. Belirli bir IP adresi (27.124.45.146) kötü amaçlı dosyaları barındırıyor ve SSH anahtarlarını diğer IP’lerle paylaşıyor; bu da potansiyel koordineli aktiviteye işaret ediyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin