Peach Sandstorm APT, uzak sistemlere erişebilen ve verileri sızdırabilen FalseFont Backdoor aracılığıyla dünya çapında savunma yüklenicilerini hedef alıyor.
Bu kampanyada kötü amaçlı yazılım, ABD Savunma ve İstihbarat Yüklenicisi Maxar Technologies’in meşru bir uygulaması gibi görünerek kullanıcıya gerçekçi bir kullanıcı arayüzü ve davranışı sunuyor.
Nextron Tehdit Araştırma Ekibi, Cyber Security News ile yaptığı paylaşımda “Özelliklerin çoğu, bu kötü amaçlı yazılımın cazibesi göz önüne alındığında, kullanıcı dosyalarını ve veri yapısını hedef alıyor; aktörler muhtemelen ABD Savunma / İstihbarat ile ilgili belgeleri çıkarmayı planlıyorlar” dedi.
APT33, Elfin, Holmium veya Refined Kitten olarak da bilinen Peach Sandstorm gelişmiş kalıcı tehdit, Microsoft’un daha önce FalseFont arka kapısını destekleyen küresel altyapıdaki birçok kuruluşa yaymaya çalıştığını gördüğü İranlı bir ulus devlet siber saldırı grubudur. askeri sistemlerin, alt sistemlerin ve silahların geliştirilmesi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Uzaktan Erişim Kazanma ve Verileri Sızdırma
Maxar Technologies’in web sitesi incelenirken mağdura misafir olarak mı yoksa hesabıyla mı giriş yapmak istediği soruluyor. Misafir olarak giriş yapmak, kayıt için bazı kişisel bilgilerin sağlanmasını gerektirecektir.
Rastgele seçilen kimlik bilgilerini kullanarak oturum açmayı denedikten sonra birçok şüpheli eylem fark edildi. AppData’ya bırakılan dosyalar ve otomatik başlatma kayıt defteri anahtarlarında yapılan hızlı değişiklikler bu durumda dikkate alınması gereken önemli olaylardır.
Araştırmacılar, tüm oturum açma işlemlerinin, uzaktan erişim özelliklerini yöneten C2’den farklı bir ana bilgisayara yönlendirildiğini keşfetti. Konuk girişi sahte bir kayıt görüntüleyecek ve kullanıcıyı Maxar ekibinden veya büyük olasılıkla bu örnekteki tehdit aktöründen bir yanıt beklemeye teşvik edecektir.
Aracı, parolanın gereksinimleri karşıladığını doğrular. Kimlik bilgisi sunucusu, kimlik bilgilerinin alındığını onaylar ve bir başarı mesajı döndürürse. Kullanıcı, müşteriden tam ad, adres, e-posta ve Maxar Technologies’deki önceki çalışma geçmişi gibi kişisel bilgilerin istendiği yeni bir form görecektir.
Gerçek arka kapı, uygulama ilk başlatıldığında, kalıcılık kurulduğunda ve uzaktan erişimi etkinleştirmek için gerçek C2 sunucusuyla bağlantı oluşturulduğunda başlatılır. Kötü amaçlı yazılım, SignalR protokolünü kullanarak Komuta ve Kontrol (C2) arayüzü aracılığıyla iletişim kurar.
Son sözler
Burada başka bir veri sızdırma yöntemi, aktörlerin sohbet veya e-posta mesajları gibi disk dışı verilerden potansiyel olarak hassas bilgilere erişmesini sağlayan ekran içeriğini kaydetme yeteneğidir.
FalseFont ayrıca, değerli çevrimiçi hesapların ele geçirilmesini kolaylaştırabilecek tipik dosya filtrelemeye ek olarak bir tarayıcı kimlik bilgisi hırsızına da sahiptir.
Son olarak, kötü amaçlı yazılımın karmaşıklığına rağmen, güvenlik yöntemi dizeleri ve diğer potansiyel olarak tehlikeli göstergeleri göz ardı ederek ikili dosyaların oldukça kolay bir şekilde tespit edilmesine olanak tanır.