Yeni Nesil Teknolojiler ve Güvenli Geliştirme , Tehdit İstihbaratı
Yakın Zamanda Ortaya Çıkan Tehdit Aktörü Asya Pasifik’e Odaklanıyor
Bay Mihir (MihirBagwe) •
13 Mart 2023
Siber güvenlik araştırmacıları, yakın zamanda ortaya çıkan ve kötü amaçlı yazılıma karşı önlemlerden kaçınmak için yeni geliştirilmiş bir karartma rutini ile kurbanlara saldıran Dark Pink’in izlerini neredeyse kesinlikle tespit ettiklerini söylüyorlar.
Ayrıca bakınız: 2022 Oltalamanın Durumu
Hollandalı siber güvenlik firması EclecticIQ, Şubat ayında, kaydedilmiş kimlik bilgileri ve tanımlama bilgileri gibi web tarayıcılarında depolanan verileri çalmak için KamiKakaBot kötü amaçlı yazılımını dağıtmak için ISO görüntüleri kullanan bir kampanya belirlediğini bildirdi. Kötü amaçlı yazılım, bilgisayar korsanlarının uzaktan kod yürütmesine de izin verebilir.
EclecticIQ, Şubat ayındaki olaylardan elde edilen göstergelerin, Group-IB’nin Ocak ayında bildirdiği Dark Pink saldırı modeliyle “neredeyse aynı” olduğunu söylüyor. İki kampanya arasındaki “birden fazla çakışma”, EclecticIQ araştırmacılarının olayların arkasında aynı tehdit aktörünün “büyük olasılıkla” olduğu sonucuna varmasına neden oldu.
Group-IB, Dark Pink’i esas olarak Asya Pasifik bölgesindeki askeri ve devlet kurumlarına odaklanan bir tehdit grubu olarak tanımladı. Tehdit grubunun 2021 ortalarında operasyonlara başladığını, ancak faaliyetlerinin 2022’nin ikinci yarısında arttığını gösteren kanıtların bulunduğunu söyledi. EclecticIQ, grubun hedeflerinin ve modellerinin Çin devlet bilgisayar korsanlarıyla bir bağlantıya işaret ettiğini söylüyor. Kampanya kimlik avı yemleri, Güneydoğu Asya ülkeleri ve Avrupa ülkeleri arasındaki diplomatik ilişkileri istismar eden belgeleri içerir. En az bir yem, Oslo diplomatlarından varsayılan davetler göndererek Endonezya ile Norveç arasındaki ısınan ilişkilerden yararlanmaya çalıştı.
EclecticIQ’nun Group-IB’nin göstergeleriyle eşleştiğini söylediği neredeyse aynı göstergeler arasında, KamiKakaBot’un bir DLL yandan yükleme tekniği aracılığıyla yürütülmesi ve sosyal medya platformu Telegram’ın komuta ve kontrol olarak kullanılması yer alıyor.
EclecticIQ araştırmacıları, “KamiKakaBot ve yükleyici, genel bir kötü amaçlı yazılım türüdür ve şu anda yalnızca Dark Pink tarafından kullanılmaktadır.”
EclecticIQ, yeni KamiKakaBot’un kendisini kötü amaçlı yazılım önleme algılamasından gizlemek için açık kaynaklı bir .NET gizleme motoruyla eski sürümden farklı olduğunu belirtiyor.
Group-IB araştırmaları, kötü amaçlı yazılımın bir sürümünün, Windows işletim sistemi kayıt defterinde bir işleyici oluşturmak için base64 görünümünde yer alan yüksek düzeyde gizlenmiş PowerShell komutları kullandığını belirttiğinden, gizlemenin kendisi KamiKakaBot için yeni değildir. .abcd Kötü amaçlı yazılım tarafından oluşturulan dosya uzantısı. Dosya uzantısı, kalıcılık oluşturan ve Telegram ile iletişim kuran bir araç olan KamiKakaBot’un temel kötü amaçlı yazılımına aittir.
KamiKakaBot’un başka bir sürümü, Microsoft Word belgesine bir ISO görüntüsü yerleştirerek bilgisayarları etkilemek için Şablon Enjeksiyonu olarak bilinen bir teknik kullanır. Antivirüsten kaçınma, kötü amaçlı kodu Word belgesine gömmekten değil, bunun yerine çalıştırma sırasında Windows tarafından okunan ve kayıt defterinde bir değer oluşturmak için kullanılan, alanlı çeşitli formlar içeren makroları kullanarak makineye bulaşmasından kaynaklanır.