3. Taraf Risk Yönetimi, Uygulama Güvenliği, Yönetişim ve Risk Yönetimi
SapphireStealer Bilgisayar Korsanlarının Hassas Kurumsal Kimlik Bilgilerini Çalmasını Sağlıyor
Prajeet Nair (@prajeetspeaks) •
3 Eylül 2023
Pek çok bilgisayar korsanı, yeni varyantlar oluşturmak için açık kaynaklı bir bilgi hırsızından daha yeni yetenekler çıkarıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Kötü amaçlı yazılım, kurumsal kimlik bilgileri gibi hassas bilgileri çalıyor ve bunlar daha sonra casusluk veya fidye yazılımıyla ilgili operasyonlar da dahil olmak üzere daha sonraki saldırılar için diğer tehdit aktörlerine satılıyor.
Cisco Talos araştırmacıları tarafından SapphireStealer olarak adlandırılan kötü amaçlı yazılım, halka açık kötü amaçlı yazılım depolarında Aralık 2022’de ilk kez piyasaya sürülmesinden bu yana artan sıklıkta gözlemleniyor ve tarayıcı kimlik bilgisi veritabanlarının ve hassas kullanıcı bilgileri içerebilecek dosyaların çalınmasını kolaylaştırıyor.
Araştırmacılar, çeşitli yeraltı forumlarında ve pazar yerlerinde satışa veya kiralık olarak sunulan yeni hırsızların ortaya çıkmasında bir artış gözlemlediklerini söyledi.
Cisco Talos tehdit araştırmacısı Edmund Brumaghin, birden fazla kuruluşun SapphireStealer’ın kod tabanını, çeşitli varyantların oluşturulmasına yol açan ek veri sızma mekanizmalarını desteklemek için değiştirdiğini orta düzeyde bir güvenle değerlendirdiklerini söyledi.
Kötü amaçlı yazılımın yeni derlenen sürümleri, “2023 Ocak ortasından itibaren halka açık kötü amaçlı yazılım depolarına yüklenmeye başladı ve 2023’ün ilk yarısı boyunca tutarlı yükleme etkinliği gözlemlendi.”
Araştırmacılar, kötü amaçlı yazılım örneklerinin şu anda birden fazla tehdit aktörü tarafından kullanıldığını ve bu tehdidin çeşitli varyantlarının zaten yaygın olduğunu ve tehdit aktörlerinin zaman içinde etkinliğini ve etkinliğini artırdığını gözlemledi.
Kötü amaçlı yazılım, ana bilgisayar bilgileri, ekran görüntüleri, önbelleğe alınmış tarayıcı kimlik bilgileri ve sistemde depolanan ve önceden tanımlanmış bir dosya uzantıları listesiyle eşleşen dosyalar dahil olmak üzere, virüslü sistemlerden hassas bilgileri çalabilir. Ayrıca Chrome, Yandex, Edge ve Opera gibi tarayıcı uygulamaları için kimlik bilgisi veritabanlarının varlığını da belirlemeye çalışır.
Kötü amaçlı yazılım çalıştırıldıktan sonra bir çalışma dizini oluşturur ve bir dosya yakalayıcı, kurbanın Masaüstü klasöründe saklanan ve .txt, .pdf, .doc, .docx, .xml gibi dosya uzantılarının listesiyle eşleşen dosyaları çalıştırır ve bulmaya çalışır. .img, .jpg ve .png.
Kötü amaçlı yazılım daha sonra tüm günlükleri içeren log.zip adı verilen sıkıştırılmış bir arşiv oluşturur ve veriler, “mesajın oluşturulmasından ve gönderilmesinden sorumlu olan kod bölümünde tanımlanan kimlik bilgileri kullanılarak” Basit Posta Aktarım Protokolü aracılığıyla saldırgana iletilir.
Günlükler başarıyla sızdırıldığında, kötü amaçlı yazılım daha önce oluşturulan çalışma dizinini siler ve yürütmeyi sonlandırır.
SapphireStealer’ın arkasındaki operatörler ayrıca, saldırgan tarafından kontrol edilen altyapıdan ek yürütülebilir dosyalar almak, alınan içeriği diske kaydetmek ve enfeksiyon sürecini devam ettirmek için yürütmek için HTTP/HTTPS iletişimlerinden yararlanan FUD-Loader adlı bir kötü amaçlı yazılım indiricisi de yayınladı.
Araştırmacılar, “Bu yükleyicinin kullanıldığı çoğu durumda, bir sonraki bölümde açıklanan altyapıda barındırılan SapphireStealer ikili veri yüklerini alarak bu örnekleri aynı tehdit aktörüne atfetmemize olanak sağladı” dedi.
İndirici ayrıca DcRat, njRAT, DarkComet ve AgentTesla gibi diğer çeşitli tehditleri sunmak için de kullanılıyor.
Araştırmacılar, “Kolayca bulunabilen ve açık kaynaklı kötü amaçlı yazılım kod tabanlarının yan ürünlerinden biri, mali amaçlı siber suçlara giriş engelinin zamanla azalmaya devam etmesidir” dedi.
Araştırmacılar, hırsızların daha az operasyonel uzmanlığa sahip saldırganların saldırı gerçekleştirmesine olanak sağladığını, ancak çalınan veriler genellikle daha sonra ek saldırılar için kullanıldığından kurumsal ortamlara aşırı derecede zarar verebileceğini söyledi.