Siber güvenlik uzmanları, “Kanlı Kurt” lakaplı bir tehdit aktörü tarafından Kazakistan’daki kuruluşları hedef alan bir dizi saldırıyı ortaya çıkardı. Grup, yeraltı forumlarında 80 dolar kadar düşük bir fiyata bulunabilen ucuz ama güçlü bir kötü amaçlı yazılım olan STRRAT’ı kullanıyor.
2023’ün sonlarından bu yana, BI.ZONE Threat Intelligence’daki araştırmacılar Bloody Wolf’un faaliyetlerini izliyor. Saldırganlar, Strigoi Master olarak da bilinen STRRAT kötü amaçlı yazılımını dağıtmak için Kazakistan Cumhuriyeti Maliye Bakanlığı ve diğer devlet kurumlarını taklit ederek karmaşık kimlik avı taktikleri kullanıyor.
BI.ZONE analizinde, “Yeraltı kaynakları üzerinden 80 dolar gibi düşük bir fiyata satılan program, saldırganların kurumsal bilgisayarları kontrol altına almasına ve kısıtlanmış verileri ele geçirmesine olanak tanıyor” ifadelerine yer verdi.
Kimlik avı e-postaları uyumsuzluk bildirimleri gibi görünen PDF ekleri içerir. Bu PDF’ler kötü amaçlı Java arşivi (JAR) dosyalarına bağlantılar ve kötü amaçlı yazılımın çalışması için önemli bir bileşen olan Java yorumlayıcıları için kurulum kılavuzları içerir.
Plana meşruiyet kazandırmak için bir bağlantı, kurbanları uygun portal işlevselliği için Java kurulumunu teşvik eden gerçek bir hükümet web sitesine yönlendiriyor. Ancak, kötü amaçlı yazılımın kendisi sahte bir hükümet sitesinde barındırılıyor (egov-kz[.](çevrimiçi) Kazakistan’ın resmi web sitelerini taklit edecek şekilde tasarlanmıştır.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Kurulduktan sonra, STRRAT zamanlanmış görevler, kayıt defteri değişiklikleri ve başlangıç klasörü yerleşimi dahil olmak üzere çeşitli yöntemlerle kalıcılık sağlar. Kötü amaçlı yazılım daha sonra hassas verileri sızdırmak ve daha fazla talimat beklemek için Pastebin’de barındırılan komuta ve kontrol sunucularına bağlanır.
STRRAT’ın Yetenekleri:
- Popüler tarayıcılardan ve e-posta istemcilerinden kimlik bilgisi hırsızlığı
- Keylogging
- Uzaktan komut yürütme
- Dosya manipülasyonu
- Ekran ve tarayıcı kontrolü
- Proxy kurulumu
- Fidye yazılımı benzeri dosya şifrelemesi
BI.ZONE, “JAR gibi daha az yaygın dosya türlerinin kullanılması, saldırganların savunmaları aşmasını sağlar” diye belirtti. “Pastebin gibi meşru web servislerini kullanarak tehlikeye atılan sistemle iletişim kurmak, ağ güvenlik çözümlerinden kaçınmayı mümkün kılar.”
Bu kampanya, siber suçluların hükümet ve kurumsal hedeflere karşı karmaşık saldırılar düzenlemek için düşük maliyetli, ticari olarak satılan kötü amaçlı yazılımlardan yararlanma eğiliminin arttığını vurguluyor.
Uzlaşmanın göstergeleri
e35370cb7c8691b5fdd9f57f3f462807b40b067e305ce30eabc16e0642eca06b00172976ee3057dd6555734af28759add7daea55047eb6f627e5491701c3ec83cb55cf3e486f3cbe3756b9b3abf1673099384a64127c99d9065aa26433281167a6fb286732466178768b494103e59a9e143d77d49445a876ebd3a40904e2f0b025c622e702b68fd561db1aec392ac01742e757724dd5276b348c11b6c5e23e5914ec3d03602467f8ad2e26eef7ce950f67826d23fedb16f30d5cf9c99dfeb058ee113a592431014f44547b144934a470a1f7ab4abec70ba1052a4feb3d15d5c6https://pastebin[.]com/raw/dFKy3ZDm:13570https://pastebin[.]com/raw/dLzt4tRB:13569https://pastebin[.]com/raw/dLzt4tRB:10101https://pastebin[.]com/raw/YZLySxsv:20202https://pastebin[.]com/raw/8umPhg86:13772https://pastebin[.]com/raw/67b8GSUQ:13671https://pastebin[.]com/raw/8umPhg86:13771https://pastebin[.]com/raw/67b8GSUQ:13672https://pastebin[.]com/raw/dLzt4tRB:13880https://pastebin[.]com/raw/YZLySxsv:1388191.92.240[.]188185.196.10[.]116
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide