Asya-Pasifik (APAC) ve Orta Doğu ve Kuzey Afrika'daki (MENA) finansal kuruluşlar, “gelişen tehdidin” yeni bir versiyonu tarafından hedefleniyor. JSOutProx.
Resecurity bu hafta yayınlanan teknik bir raporda “JSOutProx, hem JavaScript hem de .NET'i kullanan karmaşık bir saldırı çerçevesidir” dedi.
“Kurbanın makinesinde çalışan çekirdek JavaScript modülüyle etkileşim kurmak için .NET serileştirme özelliğini kullanıyor. Kötü amaçlı yazılım bir kez çalıştırıldığında çerçevenin, hedefte ek kötü amaçlı faaliyetler gerçekleştiren çeşitli eklentileri yüklemesine olanak tanıyor.”
İlk olarak Aralık 2019'da Yoroi tarafından tespit edilen JSOutProx'u dağıtan ilk saldırılar, Solar Spider olarak takip edilen bir tehdit aktörüne atfedildi. Operasyonlar, Asya ve Avrupa'daki grev yapan bankaların ve diğer büyük şirketlerin kayıtlarını takip ediyor.
2021'in sonlarında Quick Heal Güvenlik Laboratuvarları, Hindistan'daki küçük finans bankalarının çalışanlarını ayırmak için uzaktan erişim truva atından (RAT) yararlanan saldırıları ayrıntılı olarak açıkladı. Diğer kampanya dalgaları, Nisan 2020'den bu yana Hindistan hükümet kuruluşlarını hedef alıyordu.
Saldırı zincirlerinin, yoğun şekilde gizlenmiş implantı dağıtmak için, PDF'ler gibi görünen kötü amaçlı JavaScript ekleri içeren hedef odaklı kimlik avı e-postalarından ve hileli HTA dosyaları içeren ZIP arşivlerinden yararlandığı bilinmektedir.
Quick Heal, “Bu kötü amaçlı yazılımın veri sızdırma, dosya sistemi işlemlerini gerçekleştirme gibi çeşitli işlemleri gerçekleştirmek için çeşitli eklentileri var” dedi. [PDF] o zaman. “Bunun dışında, çeşitli operasyonları gerçekleştiren, saldırı yeteneklerine sahip çeşitli yöntemleri de var.”
Eklentiler, güvenliği ihlal edilmiş ana bilgisayardan çok çeşitli bilgileri toplamasına, proxy ayarlarını kontrol etmesine, pano içeriğini yakalamasına, Microsoft Outlook hesap ayrıntılarına erişmesine ve Symantec VIP'den tek seferlik şifreler toplamasına olanak tanır. Kötü amaçlı yazılımın benzersiz bir özelliği, komut ve kontrol (C2) iletişimleri için Çerez başlık alanını kullanmasıdır.
JSOutProx ayrıca JavaScript'te uygulanan tamamen işlevsel bir RAT olduğu gerçeğini de ifade eder.
Fortinet FortiGuard Labs, Aralık 2020'de yayınlanan ve Asya'daki hükümet para ve finans sektörlerine yönelik bir kampanyayı anlatan bir raporda “JavaScript, PE dosyası kadar esneklik sunmuyor” dedi.
“Ancak, JavaScript birçok web sitesi tarafından kullanıldığından, temel güvenlik bilgisine sahip kişilere .exe ile biten ekleri açmaktan kaçınmaları öğretildiğinden, çoğu kullanıcıya zararsız görünmektedir. Ayrıca, JavaScript kodu gizlenebildiği için antivirüs yazılımını kolayca atlar tespit edilmeden filtrelenmesine izin veriyor.”
Resecurity tarafından belgelenen en son saldırılar, e-posta alıcılarını kötü amaçlı kodu çalıştırmaları için kandırmak amacıyla sahte SWIFT veya MoneyGram ödeme bildirimlerinin kullanılmasını içeriyor. Faaliyetin 8 Şubat 2024'ten itibaren bir artışa tanık olduğu söyleniyor.
Eserlerin, o zamandan beri engellenen ve kaldırılan GitHub ve GitLab depolarında barındırıldığı gözlemlendi.
Siber güvenlik şirketi, “Kötü amaçlı kod başarılı bir şekilde teslim edildikten sonra, aktör depoyu kaldırır ve yeni bir tane oluşturur” dedi. “Bu taktik muhtemelen aktörün birden fazla kötü amaçlı veriyi yönetmek ve hedefleri ayırt etmek için kullandığı bir taktiktir.”
Resecurity, kötü amaçlı yazılımın arkasındaki e-suç grubunun kesin kökenlerinin şu anda bilinmemesine rağmen, saldırıların mağdur dağılımı ve implantın karmaşıklığı bunların Çin menşeli veya onunla bağlantılı olduğunu ima ediyor.
Bu gelişme, siber suçluların karanlık ağda, Raspberry Pi cihazlarını dolandırıcılık ve anonimleştirme amacıyla yeniden kullanan GEOBOX adlı yeni yazılımı tanıtmasıyla ortaya çıkıyor.
Aylık yalnızca 80 ABD Doları (veya ömür boyu lisans için 700 ABD Doları) karşılığında sunulan araç, operatörlerin GPS konumlarını taklit etmesine, belirli ağ ve yazılım ayarlarını taklit etmesine, bilinen Wi-Fi erişim noktalarının ayarlarını taklit etmesine ve ayrıca dolandırıcılık önleme filtrelerini atlamasına olanak tanır. .
Bu tür araçlar, devlet destekli saldırılar, kurumsal casusluk, karanlık web pazarı operasyonları, mali dolandırıcılık, kötü amaçlı yazılımların anonim dağıtımı ve hatta coğrafi sınırlamayla korunan içeriğe erişim gibi geniş bir suç yelpazesine kapı açtığından ciddi güvenlik etkilerine sahip olabilir.
Resecurity, “GEOBOX'a erişim kolaylığı, siber güvenlik topluluğu içinde onun çeşitli tehdit aktörleri arasında yaygın olarak benimsenme potansiyeli konusunda önemli endişelere yol açıyor” dedi.