Asya’daki malzeme araştırma kuruluşları, farklı araçlar kullanarak önceden bilinmeyen bir tehdit aktörü tarafından hedef alındı.
Broadcom Software tarafından geliştirilen Symantec, kümeyi takma adla izliyor Clasiopa. Bilgisayar korsanlığı yapan grubun kökenleri ve bağlantıları şu anda bilinmiyor, ancak düşmanın Hindistan ile bağları olabileceğine dair ipuçları var.
Bu, özel bir arka kapıdaki “SAPTARISHI-ATHARVAN-101” referanslarını ve bir ZIP arşivi için “iloveindea1998^_^” parolasının kullanımını içerir.
Sanskritçe’de “Yedi bilge” anlamına gelen Saptarishi’nin Hindu edebiyatında saygı gören bir grup kahin anlamına geldiğini belirtmekte fayda var. Atharvan eski bir Hindu rahibiydi ve Hinduizm’deki dini kutsal kitaplardan oluşan bir koleksiyon olan dört Veda’dan birinin ortak yazarı olduğuna inanılıyor.
Symantec, The ile paylaşılan bir raporda, “Bu ayrıntılar, grubun Hindistan’da yerleşik olduğunu gösteriyor olsa da, bilgilerin yanlış bayraklar olarak ekilmiş olması da oldukça muhtemeldir; özellikle parola, aşırı derecede açık bir ipucu gibi görünmektedir” dedi. Hacker Haberleri.
Siber saldırıların internete bakan sunuculardaki kaba kuvvet saldırılarından yararlandığından şüphelenilse de, ilk erişimin kesin yolu da belirsiz.
İzinsiz girişlerin temel özelliklerinden bazıları, hassas bilgileri toplamak ve dışarı sızdırmak için sistem monitörünü (Sysmon) ve olay günlüklerini temizlemenin yanı sıra Atharvan ve açık kaynak Lilith RAT’ın değiştirilmiş bir sürümü gibi birden çok arka kapının konuşlandırılmasını içerir.
Atharvan ayrıca, dosyaları almak ve virüs bulaşmış ana bilgisayarda rasgele çalıştırılabilir dosyaları çalıştırmak için sabit kodlu bir komut ve kontrol (C&C) sunucusuyla iletişim kurabilir.
Şirket, “Bugüne kadar analiz edilen örneklerden birinde görülen sabit kodlu C&C adresleri, C&C altyapısı için ortak bir konum olmayan Amazon AWS Güney Kore (Seul) bölgesi içindi” dedi.
Açıklama, siber güvenlik firmasının, Asya’daki nakliye şirketlerini ve tıbbi laboratuvarları hedef aldığı gözlemlenen Hydrochasma olarak bilinen, şimdiye kadar belgelenmemiş başka bir tehdit grubunu örtbas etmesinden bir gün sonra geldi.