Rus şirketleri, bilinen bir kötü amaçlı yazılım sunmak üzere tasarlanmış büyük ölçekli bir kimlik avı kampanyasının bir parçası olarak hedeflendi. Darkwatchman.
Rus siber güvenlik şirketi F6, saldırıların hedeflerinin medya, turizm, finans ve sigorta, üretim, perakende, enerji, telekom, ulaşım ve biyoteknoloji sektörleri yer aldığını söyledi.
Etkinlik, IBM X-Force tarafından Litvanya, Estonya ve Rusya’daki telekom, elektronik ve endüstriyel sektörleri kapsayan kullanıcılara yönelik saldırılara atfedilen HIVE0117 adlı finansal olarak motive olmuş bir grubun çalışması olarak değerlendirilmektedir.
Daha sonra Eylül 2023’te, Darkwatchman kötü amaçlı yazılımları bir kez daha Rusya, Kazakistan, Letonya ve Estonya merkezli enerji, finans, ulaşım ve yazılım güvenlik endüstrilerini hedefleyen bir kimlik avı kampanyasında kullanıldı.
Rus bankaları, perakendeciler ve pazar yerleri, telekom operatörleri, tarımsal sanayi işletmeleri, yakıt ve enerji şirketleri, lojistik işletmeleri ve BT firmaları Kasım 2023’te kurye teslimat temalı lures kullanarak Darkwatchman ile tekrar seçildi.
JavaScript tabanlı bir uzaktan erişim Trojan’ı olan Darkwatchman, anahtarloglama, sistem bilgileri toplama ve ikincil yükleri dağıtabilir. İlk olarak Aralık 2021’de belgelendi.
IBM, “Darkwatchman kötü amaçlı yazılımlarının ve JavaScript’in kullanımı ve C#yazılmış bir keylogger kullanımı ve talimat verildiğinde uzlaşmış sistemlerdeki varlığının izlerini kaldırma yeteneği, biraz karmaşık yeteneklerin kanıtıdır.”
En son saldırı seti, bir kez açıldıktan sonra, algılamadan kaçınmak için gelişmiş özelliklere sahip bir Darkwatchman varyantı sunan şifre korumalı kötü niyetli arşivler içeren kimlik avı e-postaları göndermeyi içerir.
Ukrayna Yeni Şerif Backdoor tarafından hedeflendi
IBM X-Force, Ukrayna’nın savunma sektöründeki belirtilmemiş bir varlığın 2024’ün ilk yarısında belirtilmemiş bir varlığın daha önce belgelenmemiş bir pencere arka kapısı ile hedeflendiğini söylediği gibi, Şerif.
Güvenlik araştırmacısı Golo Mühr, Mart 2025’in sonlarında yayınlanan bir raporda, “Tehdit oyuncusu, Ukr.net Ukr.net’te popüler bir haber portalı kullandı.” Dedi. Modüler Backdoor, aktöre yönelik komutları yürütebilir, ekran görüntüleri toplayabilir ve gizlice pespiltrate kurban verilerini kullanarak “dedi.
“Kötü amaçlı yazılım, uzun süreli uzlaşmalar için tasarlanmış düşük profili korurken verileri ve ekran görüntülerini almaya odaklanıyor.”
Web sitesinin, Mart 2024’ün başlarında kötü amaçlı yazılımları aşamalı olarak ihlal edilmiş olabileceğinden şüpheleniliyor. Şerif, bir ekran görüntüsü modülü de dahil olmak üzere birden fazla bileşeni, zip dosyası yorumları olarak alınan komutlar ve yapılandırma değerleri ile indirmek ve yönetmek için donanımlıdır.
Mühr, “Bir tehdit oyuncunun Ukrayna’nın en büyük haber portalına erişimi, onları bir dizi yüksek etkili saldırı yürütmeye ve gelişmiş şaşkınlıkla faaliyet gösterecek.” Dedi. Diyerek şöyle devam etti: “Bu özel olayda, tehdit oyuncusu güvenilir alanı, şüphe duymadan kötü amaçlı yazılımlara karşı kötüye kullanmış olabilir.”
Arka kapı ayrıca, operatör tarafından uzaktan çağrıldığında, tüm etkinliği durduran ve komut ve kontrol (C2) iletişimi için kullanılan Dropbox’taki kötü amaçlı yazılım ve klasörü içeren dizini silen bir “intihar” işlevi ile birlikte gelir.
IBM, kötü amaçlı yazılımların belirli yönlerinin Turla’nın Kazuar ve koltuk değneği ile örtüştüğünün yanı sıra Groundbait’in Prikormka Operasyonu ve Bad Magic’in Cloudwizard’ı.
Şirket, “Hem CloudWizard hem de Şerif, her modülün yapılandırmasını almak için https://thehackernhews.com/” get_settings “işlevi içeriyor.” Dedi. “Cloudwizard, Prikormka ve Şerif aynı ekran görüntüsünü 15 dakikalık aralıklarla paylaşıyor. Cloudwizard ve Prikormka’nın dosya listeleme modüllerine, Şerif’in bir dosya listesinin pessfiltrasyonu için kullandığı adı olan ‘Tree’ olarak adlandırılıyor.”
Arka kapının keşfi, Ukrayna’nın Özel İletişim ve Bilgi Koruması Devlet Servisi’nden (SSSCIP) bir raporu, önceki altı aylık döneme (1.739) kıyasla 2024’ün ikinci yarısındaki (2.576) olay sayısında% 48’lik bir artışa uyuyor.
Toplamda, 2024 yılında 2021’de 1.350’den, 2022’de 2.194 ve 2023’te 2.543’ten toplam 4.315 siber olay kaydedildi. Öte yandan, 2022 ve 367’de 2023’te önemli ölçüde 59’a düştü.
SSSCIP, “Rus hackerlar aktif olarak otomasyonu uyguluyor, yazılım satıcıları aracılığıyla sızma için tedarik zinciri saldırıları kullanıyor ve casusluk ve sabotaj tekniklerini birleştiriyor.” Dedi. Diyerek şöyle devam etti: “Saldırıların temel odak noktası, ön taraftaki operasyonel durumu etkileyebilecek zeka toplanmasıdır. Özellikle, düşman durumsal farkındalık sistemlerini ve özel savunma işletmelerini hedeflemektir.”