Acı olarak bilinen tehdit oyuncusu, Hindistan hükümetinin çıkarlarıyla uyumlu istihbarat toplamakla görevli devlet destekli bir hack grubu olarak değerlendirildi.
Bu, Proofpoint ve Threatray tarafından kapsamlı iki bölümlü bir analizde ortaklaşa yayınlanan yeni bulgulara göre.
Araştırmacılar Abdallah Elshinbary, Jonas Wagner, Nick Attfield ve Konstantin Klinger, “Çeşitli araç setleri, kötü amaçlı yazılım aileleri arasında, özellikle sistem bilgileri toplama ve ip gizlemesinde tutarlı kodlama modelleri gösteriyor.” Dedi.
APT-C-08, Apt-Q-37, Puslu Tiger, Turuncu Yali, T-ATT-17 ve TA397 olarak da bilinen acı, öncelikle Güney Asya varlıklarına odaklanma geçmişine sahiptir ve Çin, Suudi Arabistan ve Güney Amerika’yı da hedefleyen belirli müdahaleler.
Aralık 2024’te, tehdit oyuncusunun WMRAT ve Miyarat gibi kötü amaçlı yazılım ailelerini kullanarak Türkiye’yi hedeflemesine dair kanıtlar ortaya çıktı ve kademeli bir coğrafi genişlemeyi gösterdi.
Acı, sık sık “aşırı derecede küçük bir hedef alt kümesi” ni belirlediğini belirten Proofpoint, saldırıların dış politika veya güncel işlerle ilgili istihbarat tahsilatını sağlamak için hükümetlere, diplomatik kuruluşlara ve savunma organizasyonlarına yönelik olduğunu söyledi.
Grup tarafından monte edilen saldırı zincirleri, 163 gibi sağlayıcılardan gönderilen mesajlarla tipik olarak mızrak aktı e-postalarından yararlanır[.]com, 126[.]Com ve Protonmail, Pakistan, Bangladeş ve Madagaskar hükümetleriyle ilişkili tehlike oluşturur.
Tehdit oyuncusu, alıcıları kötü amaçlı yazılımların konuşlandırılmasını tetikleyen kötü amaçlı yazılım bağlılığına ikna etmek için bu kampanyalarda Çin, Madagaskar, Mauritius ve Güney Kore’den hükümet ve diplomatik varlıklar olarak maskelenmenin gözlemlenmiştir.
 |
| Acı enfeksiyon zincirlerine genel bakış |
Enterprise Security Company, “Kullanılan içerik ve tuzak belgelerine dayanarak, TA397’nin Hintli müttefikler de dahil olmak üzere diğer ülkelerin hükümetleri gibi maskelenme konusunda hiçbir sıkıntısı olmadığı açıktır.” Dedi.
“TA397’nin bu kampanyalardaki hedefleri Avrupa’da var olan Türk ve Çin kuruluşları olsa da, grubun Madagaskar ve Mauritius’un meşru işlerine bilgi ve görünürlüğe sahip olduğunu ve materyali mızraklama operasyonlarında kullandığını gösteriyor.”
Ayrıca, BITVE, hükümet kuruluşlarını hedeflenen ev sahiplerinde daha fazla numaralandırma faaliyeti gerçekleştirmeyi ve 2019’da ilk olarak belgelenen bir .net Truva olan Kugelblitz ve Bdarkrat gibi ek yükler bırakmayı hedefleyen iki ayrı kampanyada uygulamalı klavye faaliyetine girdiği bulunmuştur.
Sistem bilgilerini toplamak, kabuk komutlarını yürütme, dosya indirme ve tehlikeye atılan ana bilgisayardaki dosyaları yönetme gibi standart uzaktan erişim truva özelliklerine sahiptir.
 |
| Bitter’in Kötü Yazılım Aileleri |
Arsenalindeki bilinen diğer araçlardan bazıları aşağıdadır –
- ArtradownloaderC ++ ‘da sistem bilgilerini toplayan ve uzak bir dosyayı indirmek ve yürütmek için HTTP isteklerini kullanan bir indirici
- Anahtarlayıcıçeşitli kampanyalarda tuş vuruşlarını ve pano içeriğini kaydetmek için kullanılan bir C ++ modülü
- WSCSPL BackdoorArtradownloader üzerinden teslim edilen ve makine bilgilerini almak, uzaktan talimatları yürütmek ve dosyaları indirmek ve çalıştırmak için komutları destekleyen bir arka kapı
- Muuydownloader (aka ZXXZ), uzak bir sunucudan alınan yüklerin uzaktan kod yürütülmesine izin veren bir Truva atı
- Badem faresitemel veri toplama işlevselliği ve keyfi komutlar yürütme ve dosyaları aktarabilme yeteneği sunan bir .NET Truva atı
- Orpcbackdoorbir komut ve kontrol (C2) sunucusu ile iletişim kurmak için RPC protokolünü kullanan ve operatör tarafından verilen talimatları çalıştıran bir arka kapı
- Kiviönceden tanımlanmış bir uzantı kümesi ile eşleşen dosyaları arayan bir stealer, 50 MB’den küçüktür ve geçtiğimiz yıl içinde değiştirilmiş ve bunları uzak bir sunucuya söndürür
- KugelblitzHavoc C2 çerçevesini dağıtmak için kullanılan bir kabuk kodu yükleyici
Orpcbackdoor’un bilinenSec 404 ekibi tarafından, Sidewinder, Patchwork, Konfüçyüs ve Acı dahil olmak üzere Hindistan hizalı diğer tehdit kümeleriyle örtüştüğünü söylediği gizemli fil adı verilen bir tehdit aktörüne atfedildiğini belirtmek gerekir.
Uygulamalı Kalıplar etkinliğinin analizi, WHOIS etki alanı kayıtlarının ve TLS sertifika verilerinin gerçekleştiği zamanla da tutarlı olan “Hint Standart Saat diliminde (IST) Pazartesi-Cuma Çalışma Saatleri Programı” nı vurgular.
Araştırmacılar, “TA397, bir Hint istihbarat örgütü adına büyük olasılıkla faaliyet gösteren casusluk odaklı bir tehdit oyuncusudur.” Dedi. “Altyapı ile ilgili etkinliklerin çoğunun IST saat diliminde standart çalışma saatlerinde meydana geldiğine dair açık bir gösterge var.”