Orta Doğu ve Kuzey Afrika, Eylül 2024’ten beri Asyncrat adlı bilinen bir kötü amaçlı yazılımın değiştirilmiş bir versiyonunu sunan yeni bir kampanyanın hedefi haline geldi.
Geçen hafta yayınlanan bir analizde, “Sosyal medyayı kötü amaçlı yazılım dağıtmak için kullanan kampanya bölgenin mevcut jeopolitik iklimi ile bağlantılıdır.” Dedi. “Saldırganlar, bu amaçla özel olarak kurulmuş olan meşru çevrimiçi dosya paylaşım hesaplarında veya telgraf kanallarında kötü amaçlı yazılımlara ev sahipliği yapar.”
Rus siber güvenlik şirketi, 2024 sonbaharından bu yana yaklaşık 900 kurban talep ettiği tahmin ediliyor. Kurbanların çoğunluğu Libya, Suudi Arabistan, Mısır, Türkiye, Birleşik Arap Emirlikleri, Katar ve Tunus’ta bulunmaktadır.
Faaliyet, dublajlı bir tehdit oyuncusuna atfedilen Çöl DexterŞubat 2025’te keşfedildi. Esas olarak Facebook’ta geçici hesaplar ve haber kanalları oluşturmayı içeriyor. Bu hesaplar daha sonra bir dosya paylaşım hizmeti veya telgraf kanalına bağlantılar içeren reklamlar yayınlamak için kullanılır.
Bağlantılar, kullanıcıları, çevrimdışı bir keylogger içerecek şekilde değiştirilmiş Asyncrat kötü amaçlı yazılımların bir sürümüne yönlendirir; 16 farklı kripto para birimi cüzdan uzantısı ve uygulamasını arayın; ve bir telgraf botuyla iletişim kurun.
Öldürme zinciri, saldırının ikinci aşamasını tetiklemekten sorumlu bir PowerShell komut dosyası çalıştırmak üzere programlanmış bir toplu beter veya bir JavaScript dosyası içeren bir RAR arşivi ile başlar.
Özellikle, kötü amaçlı yazılımın başlamasını önleyebilecek çeşitli .NET hizmetleriyle ilişkili işlemleri sonlandırır, “C: \ ProgramData \ Pencereler” ve “C: \ Users \ PublicShost” ve VBS ile dosyaları siler ve C: \ ProgramData \ WindowShost ve C ve PS1 dosyalarında yeni bir VBS dosyası oluşturur.
Komut dosyası daha sonra sistem üzerinde kalıcılık oluşturur, sistem bilgilerini bir telgraf botuna toplar ve söndürür, bir ekran görüntüsü alır ve sonuçta asyncrat yükünü “aspnet_compiler.exe” yürütülebilir dosyasına enjekte ederek başlatır.
JavaScript dosyasındaki Arap dili yorumları olası kökenlerini ifade etse de, şu anda kampanyanın arkasında kimin olduğu bilinmemektedir.
Telegram botuna gönderilen mesajların daha fazla analizi, saldırganın “Dextermsi” adlı kendi masaüstünün PowerShell betiğinin yanı sıra Luminosity Link Rat adlı bir aracı içeren ekran görüntülerini ortaya çıkardı. Telegram botunda da mevcut olan “Dexterly” adlı bir telgraf kanalına bir bağlantı var, bu da tehdit oyuncunun Libya’dan olabileceğini öne sürüyor. Kanal 5 Ekim 2024’te oluşturuldu.
“Mağdurların çoğunluğu, aşağıdaki sektörlerdeki çalışanlar da dahil olmak üzere sıradan kullanıcılardır: petrol üretimi, inşaat, bilgi teknolojisi, [and] Tarım, “dedi araştırmacılar.
“Çöl Dexter tarafından kullanılan araçlar özellikle sofistike değildir. Ancak, Facebook reklamlarının meşru hizmetlerle kombinasyonu ve jeopolitik duruma referanslar çok sayıda cihazın enfeksiyonuna yol açmıştır.”
Geliştirme, Qianxin’in, okyanus bilimleri ve teknolojileri ile ilgili hassas bilgileri hasat edebilecek bir arka kapı sunmak amacıyla Çin’deki bilimsel araştırma kurumlarını hedefleyen Sea Fil Operasyonu olarak adlandırılan bir mızrak aktı kampanyasının ayrıntılarını açıkladığı gibi geliyor.
Etkinlik, UTG-Q-011 adlı bir kümeye atfedildi, bu, CNC Grubu adlı başka bir düşman kolektifinde, taktik örtüşmeyi Patchwork ile paylaşan bir alt küme, Hindistan’dan olduğundan şüphelenilen bir tehdit oyuncusu.