RedCurl ve Red Wolf olarak da adlandırılan Earth Kapre olarak bilinen kötü şöhretli bilgisayar korsanlığı grubu, silahlı ISO ve IMG dosyalarıyla dünya çapındaki kuruluşları hedef alıyor.
Bu kapsamlı araştırma, grubun ağlara sızmak, tespit edilmekten kaçınmak ve hassas verileri sızdırmak için kullandığı karmaşık taktikleri ortaya çıkarıyor.
Earth Kapre'nin operasyonları Rusya, Almanya, Ukrayna, Birleşik Krallık, Slovenya, Kanada, Avustralya ve Amerika Birleşik Devletleri'ne yayıldı.
Grup, saldırısını .iso ve .img dosyaları biçiminde kötü amaçlı ekler içeren kimlik avı e-postaları yoluyla başlatıyor.
Şüphelenmeyen alıcılar bu dosyaları açtığında, kötü amaçlı yazılım sistemde bir yer edinerek veri hırsızlığı ve casusluğa zemin hazırlıyor.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
Kötü Amaçlı Ekler
Bu ekler yürütüldükten sonra kalıcılık için zamanlanmış bir görevin oluşturulmasını tetikleyerek, kötü amaçlı yazılımın ele geçirilen sistemde etkin kalmasını sağlar.
Bu teknik, hassas verilerin izinsiz toplanmasını ve saldırganlar tarafından işletilen komuta ve kontrol (C&C) sunucularına iletilmesini kolaylaştırır.
MDR Soruşturması
Trend Micro Yönetilen Genişletilmiş Tespit ve Yanıt (MDR) ve Olay Yanıtı (IR) ekibi, Earth Kapre indiricisinin bulaştığı çok sayıda makineyi kapsayan bir olayla ilgili kapsamlı bir araştırma gerçekleştirdi.
Bu kötü amaçlı yazılımın C&C sunucularıyla bağlantı kurduğu gözlemlendi ve bu da potansiyel bir veri hırsızlığı senaryosuna işaret ediyor.
Soruşturma, Powershell.exe ve curl.exe gibi meşru araçların daha fazla kötü amaçlı veri indirmek için kullanıldığını ortaya çıkardı ve Earth Kapre'nin gelişmiş kaçırma tekniklerini sergiledi.
Earth Kapre, ağa karışmak ve tespit edilmekten kaçınmak için kurnazca bir hareketle, kötü amaçlı komut satırlarını çalıştırmak için Program Uyumluluk Asistanı'ndan (pcalua.exe) yararlandı.
Bu yaklaşım, grubun radar altında çalışmasına ve hain faaliyetlerini gerçekleştirmek için meşru sistem araçlarına duyulan güvenden yararlanmasına olanak tanıdı.
Veri Hırsızlığı Senaryosu
Soruşturma, Earth Kapre tarafından düzenlenen karmaşık bir veri hırsızlığı senaryosunu ortaya çıkardı.
Grup, giden iletişim kurmak ve uzak komutları yürütmek için bir Python betiği kullandı; bu, Windows ağ protokolü etkileşimleri için Impacket kitaplığının kullanıldığını gösteriyor.
Bu aktivite, ele geçirilen organizasyondan veri sızmaya yönelik iyi koordine edilmiş bir çabaya işaret ediyor.
Earth Kapre hack grubunun son kampanyası, gelişmiş siber casusluk aktörlerinin oluşturduğu devam eden ve aktif tehdidin altını çiziyor.
Grup, silahlı ISO ve IMG dosyaları içeren kimlik avı e-postalarından yararlanarak dünya çapında çok çeşitli kuruluşlara sızma yeteneğini gösterdi.
Meşru araçların kötü amaçlarla kullanılması, grubun tespitten kaçınma ve hedeflerine ulaşma konusundaki ustalığını daha da vurgulamaktadır.
Kuruluşların dikkatli olmaları ve bu tür karmaşık tehditlere etkili bir şekilde karşı koymak için gelişmiş tehdit tespit ve yanıt çözümlerini kullanmaları tavsiye ediliyor.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.