Şüpheli bir Güney Asya siber casusluk tehdit grubu olarak biliniyor. Acı WmRAT ve MiyaRAT olarak izlenen iki C++ kötü amaçlı yazılım ailesini sunmak için Kasım 2024’te bir Türk savunma sektörü kuruluşunu hedef aldı.
Proofpoint araştırmacıları Nick Attfield, Konstantin Klinger, Pim Trouerbach ve David Galazin, “Saldırı zinciri, hedef makinede daha fazla veriyi aşağı çekmek için zamanlanmış bir görev oluşturan bir kısayol (LNK) dosyası sunmak için RAR arşivindeki alternatif veri akışlarını kullandı.” The Hacker News ile paylaşılan bir raporda şöyle söylendi.
Kurumsal güvenlik şirketi, TA397 adı altındaki tehdit aktörünü takip ediyor. En az 2013’ten beri aktif olduğu bilinen düşman, APT-C-08, APT-Q-37, Hazy Tiger ve Orange Yali olarak da anılıyor.
Bilgisayar korsanlığı grubu tarafından gerçekleştirilen önceki saldırılar, BitterRAT, ArtraDownloader ve ZxxZ gibi kötü amaçlı yazılım içeren Çin, Pakistan, Hindistan, Suudi Arabistan ve Bangladeş’teki varlıkları hedef alıyordu ve bu da yoğun bir Asya odağına işaret ediyordu.
Acı ayrıca, sırasıyla 2019 ve 2022’de BlackBerry ve Meta’nın raporlarına göre, PWNDROID2 ve Dracarys gibi Android kötü amaçlı yazılım türlerinin yayılmasına yol açan siber saldırılarla da ilişkilendirildi.
Bu Mart ayının başlarında siber güvenlik şirketi NSFOCUS, adı açıklanmayan bir Çin devlet kurumunun 1 Şubat 2024’te Bitter tarafından veri hırsızlığı ve uzaktan kontrol yeteneğine sahip bir truva atı sağlayan bir hedef odaklı kimlik avı saldırısına maruz kaldığını açıkladı.
Proofpoint tarafından belgelenen en son saldırı zinciri, tehdit aktörünün potansiyel kurbanları bubi tuzaklı RAR arşiv ekini başlatmaya ikna etmek için Madagaskar’daki kamu altyapı projeleriyle ilgili bir tuzak kullanmasını içeriyordu.
RAR arşivinde, Dünya Bankası’nın Madagaskar’daki altyapı geliştirme amaçlı kamu girişimi hakkında sahte bir dosya, PDF görünümüne sahip bir Windows kısayol dosyası ve PowerShell kodunu içeren gizli bir alternatif veri akışı (ADS) dosyası mevcuttu.
ADS, Windows tarafından bir dosyaya veri akışları eklemek ve bu akışlara erişmek için kullanılan Yeni Teknoloji Dosya Sisteminde (NTFS) sunulan bir özelliği ifade eder. Boyutunu veya görünümünü etkilemeden bir dosyaya ek veri kaçırmak için kullanılabilir, böylece tehdit aktörlerine zararsız bir dosyanın dosya kaydında kötü amaçlı bir yükün varlığını gizlemek için sinsi bir yol sağlanır.
Kurban LNK dosyasını başlatırsa, veri akışlarından biri Dünya Bankası sitesinde barındırılan bir tuzak dosyayı almak için kod içerirken, ikinci ADS, yem belgesini açmak ve sorumlu için zamanlanmış bir görev ayarlamak için Base64 kodlu bir PowerShell komut dosyası içerir. jacknwoods etki alanından son aşamadaki yükleri almak için[.]com.
Hem WmRAT hem de MiyaRAT, daha önce QiAnXin tarafından ayrıntılı olarak açıklandığı gibi, kötü amaçlı yazılımın ana bilgisayar bilgilerini toplamasına, dosya yüklemesine veya indirmesine, ekran görüntüleri almasına, coğrafi konum verileri almasına, dosya ve dizinleri numaralandırmasına ve rastgele çalıştırmasına olanak tanıyan standart uzaktan erişim trojan (RAT) yetenekleriyle birlikte gelir. cmd.exe veya PowerShell aracılığıyla komutlar.
MiyaRAT’ın yalnızca birkaç kampanyada seçici olarak konuşlandırılması nedeniyle kullanımının yüksek değerli hedeflere ayrıldığına inanılıyor.
Proofpoint, “Bu kampanyalar neredeyse kesinlikle Güney Asya hükümetinin çıkarlarını destekleyen istihbarat toplama çabalarıdır” dedi. “Ayrıcalıklı bilgilere ve fikri mülkiyete erişim elde etmek amacıyla, hedef kuruluşlara kötü amaçlı arka kapılar dağıtmak için hazırlık alanlarıyla iletişim kurmak üzere planlanmış görevleri ısrarla kullanıyorlar.”