Siber güvenlik uzmanları, “Kanlı Kurt” lakaplı bir tehdit aktörü tarafından Kazakistan’daki kuruluşları hedef alan bir dizi saldırıyı ortaya çıkardı. Grup, yeraltı forumlarında 80 dolar kadar düşük bir fiyata bulunabilen ucuz ama güçlü bir kötü amaçlı yazılım olan STRRAT’ı kullanıyor.
2023’ün sonlarından bu yana, BI.ZONE Threat Intelligence’daki araştırmacılar Bloody Wolf’un faaliyetlerini izliyor. Saldırganlar, Strigoi Master olarak da bilinen STRRAT kötü amaçlı yazılımını dağıtmak için Kazakistan Cumhuriyeti Maliye Bakanlığı ve diğer devlet kurumlarını taklit ederek karmaşık kimlik avı taktikleri kullanıyor.
BI.ZONE analizinde, “Yeraltı kaynakları üzerinden 80 dolar gibi düşük bir fiyata satılan program, saldırganların kurumsal bilgisayarları kontrol altına almasına ve kısıtlanmış verileri ele geçirmesine olanak tanıyor” ifadelerine yer verdi.
Kimlik avı e-postaları uyumsuzluk bildirimleri gibi görünen PDF ekleri içerir. Bu PDF’ler kötü amaçlı Java arşivi (JAR) dosyalarına bağlantılar ve kötü amaçlı yazılımın çalışması için önemli bir bileşen olan Java yorumlayıcıları için kurulum kılavuzları içerir.
Plana meşruiyet kazandırmak için bir bağlantı, kurbanları uygun portal işlevselliği için Java kurulumunu teşvik eden gerçek bir hükümet web sitesine yönlendiriyor. Ancak, kötü amaçlı yazılımın kendisi sahte bir hükümet sitesinde barındırılıyor (egov-kz[.](çevrimiçi) Kazakistan’ın resmi web sitelerini taklit edecek şekilde tasarlanmıştır.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Kurulduktan sonra, STRRAT zamanlanmış görevler, kayıt defteri değişiklikleri ve başlangıç klasörü yerleşimi dahil olmak üzere çeşitli yöntemlerle kalıcılık sağlar. Kötü amaçlı yazılım daha sonra hassas verileri sızdırmak ve daha fazla talimat beklemek için Pastebin’de barındırılan komuta ve kontrol sunucularına bağlanır.
STRRAT’ın Yetenekleri:
- Popüler tarayıcılardan ve e-posta istemcilerinden kimlik bilgisi hırsızlığı
- Keylogging
- Uzaktan komut yürütme
- Dosya manipülasyonu
- Ekran ve tarayıcı kontrolü
- Proxy kurulumu
- Fidye yazılımı benzeri dosya şifrelemesi
BI.ZONE, “JAR gibi daha az yaygın dosya türlerinin kullanılması, saldırganların savunmaları aşmasını sağlar” diye belirtti. “Pastebin gibi meşru web servislerini kullanarak tehlikeye atılan sistemle iletişim kurmak, ağ güvenlik çözümlerinden kaçınmayı mümkün kılar.”
Bu kampanya, siber suçluların hükümet ve kurumsal hedeflere karşı karmaşık saldırılar düzenlemek için düşük maliyetli, ticari olarak satılan kötü amaçlı yazılımlardan yararlanma eğiliminin arttığını vurguluyor.
Uzlaşmanın göstergeleri
e35370cb7c8691b5fdd9f57f3f462807b40b067e305ce30eabc16e0642eca06b
00172976ee3057dd6555734af28759add7daea55047eb6f627e5491701c3ec83
cb55cf3e486f3cbe3756b9b3abf1673099384a64127c99d9065aa26433281167
a6fb286732466178768b494103e59a9e143d77d49445a876ebd3a40904e2f0b0
25c622e702b68fd561db1aec392ac01742e757724dd5276b348c11b6c5e23e59
14ec3d03602467f8ad2e26eef7ce950f67826d23fedb16f30d5cf9c99dfeb058
ee113a592431014f44547b144934a470a1f7ab4abec70ba1052a4feb3d15d5c6
https://pastebin[.]com/raw/dFKy3ZDm:13570
https://pastebin[.]com/raw/dLzt4tRB:13569
https://pastebin[.]com/raw/dLzt4tRB:10101
https://pastebin[.]com/raw/YZLySxsv:20202
https://pastebin[.]com/raw/8umPhg86:13772
https://pastebin[.]com/raw/67b8GSUQ:13671
https://pastebin[.]com/raw/8umPhg86:13771
https://pastebin[.]com/raw/67b8GSUQ:13672
https://pastebin[.]com/raw/dLzt4tRB:13880
https://pastebin[.]com/raw/YZLySxsv:13881
91.92.240[.]188
185.196.10[.]116
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide