Siber güvenlik araştırmacıları, kötü şöhretli DarkGate uzaktan erişim truva atı (RAT) ile Ducktail bilgi hırsızlığının arkasındaki Vietnam merkezli finansal siber suç operasyonu arasında bir bağlantı olduğunu ortaya çıkardı.
Ducktail’in 2022’deki etkinliğini tespit eden WithSecure araştırmacıları, İngiltere, ABD ve Hindistan’daki kuruluşlara yönelik çok sayıda enfeksiyon girişimini tespit ettikten sonra DarkGate ile ilgili araştırmalarına başladı.
“Cazibe belgelerinin ve hedeflemenin son Ördek Kuyruğu bilgi hırsızlığı kampanyalarına çok benzediği hızla ortaya çıktı ve DarkGate kampanyasındaki açık kaynak veriler üzerinden büyük olasılıkla aynı aktör/grup tarafından kullanılan birden fazla diğer bilgi hırsızlığına geçiş yapmak mümkün oldu ,” dedi raporda.
DarkGate’in Ördek Kuyruğu ile Bağları
DarkGate, bilgi çalmak, kripto korsanlığı yapmak ve kötü amaçlı yazılım dağıtmak için Skype, Teams ve Mesajlar’ı kullanmak da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirebilen bir arka kapı kötü amaçlı yazılımıdır.
Kötü amaçlı yazılım, virüslü cihazlardan kullanıcı adları, şifreler, kredi kartı numaraları ve diğer hassas bilgiler dahil olmak üzere çeşitli verileri çalabilir ve kullanıcının bilgisi veya izni olmadan virüslü cihazlarda kripto para madenciliği yapmak için kullanılabilir.
Virüs bulaşmış cihazlara fidye yazılımı dağıtmak, kullanıcının dosyalarını şifrelemek ve şifreyi çözmek için fidye ödemesi talep etmek için kullanılabilir.
WithSecure kıdemli tehdit istihbaratı analisti Stephen Robinson, DarkGate kötü amaçlı yazılım işlevselliğinin 2018’deki ilk raporlamadan bu yana yüksek düzeyde değişmediğini açıklıyor.
“Bu her zaman bir İsviçre çakısı, çok işlevli bir kötü amaçlı yazılım olmuştur” diyor. “Bununla birlikte, o zamandan bu yana yazar tarafından defalarca güncellendi ve değiştirildi; bunun, bu kötü amaçlı işlevlerin uygulanmasını iyileştirmek ve AV/Kötü Amaçlı Yazılım algılama silahlanma yarışına ayak uydurmak olduğunu varsayabiliriz.”
DarkGate kampanyalarının (ve bunların arkasındaki aktörlerin), kimi hedeflediklerine, kullandıkları yemlere ve enfeksiyon vektörlerine ve hedef üzerindeki eylemlerine göre farklılaşabileceğini belirtiyor.
Robinson, “Raporun odaklandığı belirli Vietnam kümesi, birden fazla kötü amaçlı yazılım türü kullanan birden fazla kampanya için aynı hedeflemeyi, dosya adlarını ve hatta yem dosyalarını kullandı” diyor.
Oluşturulan her dosyaya kendi meta verilerini ekleyen çevrimiçi bir hizmeti kullanarak PDF yem dosyaları oluşturdular; bu meta veriler farklı kampanyalar arasında daha güçlü bağlantılar sağladı.
Ayrıca aynı cihazda birden fazla kötü amaçlı LNK dosyası oluşturdular ve meta verileri silmediler, böylece daha fazla etkinliğin kümelenmesine olanak sağladılar.
DarkGate ve Ducktail arasındaki korelasyon, yem dosyaları, hedefleme modelleri ve dağıtım yöntemleri gibi teknik olmayan işaretleyicilerin 15 sayfalık bir raporda derlenmesiyle belirlendi.
Callie şöyle açıklıyor: “Cazibe dosyaları ve meta veriler gibi teknik olmayan göstergeler, adli kuyruklarda son derece etkili. Kurbanları kötü amaçlı yazılımı çalıştırmaya ikna etmek için yem görevi gören yem dosyaları, bir saldırganın çalışma şekli, potansiyel hedefleri ve gelişen teknikleri hakkında paha biçilmez bilgiler sunuyor.” Günther, Critical Start’ta siber tehdit araştırmasının kıdemli yöneticisi.
Benzer şekilde, “LNK Drive ID” gibi bilgiler veya Canva gibi hizmetlerden alınan ayrıntılar gibi meta veriler, farklı saldırılar veya belirli aktörler karşısında kalıcı olabilecek fark edilebilir izler veya modeller bırakabilir.
“Bu tutarlı modeller, analiz edildiğinde çeşitli kampanyalar arasındaki boşluğu kapatabilir ve kötü amaçlı yazılımın teknik ayak izi farklı olsa bile araştırmacıların bunları ortak bir faile atfetmelerine olanak tanır” diyor.
Menlo Security’nin siber güvenlik uzmanı Ngoc Bui, aynı tehdit aktörleriyle bağlantılı farklı kötü amaçlı yazılım aileleri arasındaki ilişkileri anlamanın çok önemli olduğunu söylüyor.
Bui, “Daha kapsamlı bir tehdit profili oluşturmaya ve bu tehdit aktörlerinin taktiklerini ve motivasyonlarını belirlemeye yardımcı oluyor” diyor.
Örneğin, araştırmacılar DarkGate, Ducktail, Lobshot ve Redline Stealer arasında bağlantılar bulurlarsa, tek bir aktörün veya grubun birden fazla kampanyaya dahil olduğu sonucuna varabilirler, bu da yüksek düzeyde karmaşıklık anlamına gelir.
Bui, “Bu aynı zamanda analistlerin, fidye yazılımı kampanyaları ve çabalarında gördüğümüz gibi birden fazla tehdit grubunun birlikte çalışıp çalışmadığını belirlemesine de yardımcı olabilir” diye ekliyor.
MaaS Siber Tehdit Ortamını Etkiliyor
Bui, DarkGate’in bir hizmet olarak kullanılabilirliğinin siber güvenlik ortamı üzerinde önemli etkileri olduğuna dikkat çekiyor.
Bui, “Teknik uzmanlığa sahip olmayan, hevesli siber suçluların giriş engelini azaltıyor” diye açıklıyor. “Sonuç olarak, daha fazla kişi veya grup DarkGate gibi karmaşık kötü amaçlı yazılımlara erişip bunları dağıtabilir, bu da genel tehdit düzeyini artırır.”
Bui, hizmet olarak kötü amaçlı yazılım (MaaS) tekliflerinin siber suçlulara saldırı gerçekleştirmek için uygun ve uygun maliyetli bir araç sağladığını ekliyor.
Bir siber güvenlik analisti için bu durum bir zorluk teşkil ediyor çünkü sürekli olarak yeni tehditlere uyum sağlamaları ve birden fazla tehdit aktörünün aynı kötü amaçlı yazılım hizmetini kullanma olasılığını dikkate almaları gerekiyor.
Ayrıca, kötü amaçlı yazılımı kullanan tehdit aktörünün takibini biraz daha zorlaştırabilir çünkü kötü amaçlı yazılımın kendisi, kötü amaçlı yazılımı kullanan tehdit aktörüne değil, geliştiriciye geri dönebilir.
Savunmada Paradigma Değişimi
Günther, modern, sürekli gelişen siber tehdit ortamını daha iyi anlamak için savunma stratejilerinde paradigma değişikliğinin gecikmiş olduğunu söylüyor.
“Yapay zeka ve makine öğreniminden yararlanmanın yanı sıra davranış temelli algılama dizilerini benimsemek, imza tabanlı yöntemlerin önceki sınırlamalarını aşarak anormal ağ davranışlarının tanımlanmasına olanak tanıyor” diyor.
Ayrıca, tehdit istihbaratının bir havuzda toplanması ve sektör genelinde ortaya çıkan tehditler ve taktikler hakkında iletişimi teşvik etmek, erken tespit ve hafifletmeyi kolaylaştırabilir.
Günther, “Ağ yapılandırmalarını ve sızma testlerini kapsayan düzenli denetimler, güvenlik açıklarını önceden ortaya çıkarabilir” diye ekliyor. “Ayrıca, çağdaş tehditleri ve kimlik avı vektörlerini tanıma konusunda eğitilmiş, iyi bilgilendirilmiş bir iş gücü, bir kuruluşun ilk savunma hattı haline gelerek risk oranını önemli ölçüde azaltır.”