Tehdit aktörleri, Google Drive’ın yaygın kullanımı, kolay dosya paylaşımı ve ortak çalışma özellikleri nedeniyle çeşitli kötü amaçlı faaliyetler için kötüye kullanıyor.
Bunlar kötü amaçlı yazılımları barındırmak ve dağıtmak için uygun bir platform sağlar. Meşru hizmetlerle entegrasyon, kötü amaçlı içeriğin tespit edilmesini ve engellenmesini zorlaştırır.
Check Point’teki siber güvenlik araştırmacıları yakın zamanda Temmuz 2023’te Avrupa’yı vuran Earth Preta ile bağlantılı SMUGX’i buldu. Ayrıca Tayvan’daki PlugX’in SMUGX’e bağlı olduğu bir kimlik avı e-postası da buldular.
Araştırmacılar, tipik PlugX’ten farklı olan ve esas olarak indirme için kullanılan DOPLUGS adında yeni bir değişken buldu.
KillSomeOne modülünü kullanıyor ve ilk olarak 2020’de Sophos tarafından bildirildi. Earth Preta kampanya araştırmacıları DOPLUGS’u analiz ederek arka kapı komutlarını, KillSomeOne ile entegrasyonunu ve zaman içindeki değişiklikleri not ediyor.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Teknik Analiz
Temmuz 2023’ten bu yana bulunan DOPLUGS dosyaları Tayvan ve Moğolistan’dan gelen mağdurları gösteriyor. Dosya adları, Ocak 2024 Tayvan başkanlık seçimleri gibi yakın tarihli olaylarla bağlantılı sosyal mühendislik izlenimi veriyor.
“Shuiyuan Yolunun 2. ve 5. Aşamalarındaki Yenilenen Konut Binaları için Kentsel Yenileme Teşvik Talimatları.pdf” sahte dosyası, geleneksel Çince dilindeki Tayvan kentsel yenileme projesiyle ilgilidir.
Tuzak Moğolistan’daki Sellere Karşı Uyarıyor, Moğolca. 2022-2023 VirusTotal verilerine göre (Asya odaklı), Tayvan ve Vietnam ana hedefler olurken, Çin, Singapur, Hong Kong, Japonya, Hindistan, Malezya ve Moğolistan’da daha az saldırı yaşandı.
Hedef odaklı kimlik avı e-postaları, DOPLUGS kötü amaçlı yazılımını içeren şifre korumalı bir arşive yönlendiren bir Google Drive bağlantısı taşır.
RAR arşivindeki belge görünümüne sahip LNK dosyaları, MSI dosyalarını https://getfiledown adresinden indirir.[.]com/vgbskgyu, sonraki dosya düşüşlerinin tetiklenmesine yardımcı olur.
- %localappdata%\MPTfGRunFbCn\OneNotem.exe (yasal yürütülebilir dosya)
- %localappdata%\MPTfGRunFbCn\msi.dll (kötü amaçlı DLL dosyası)
- %localappdata%\MPTfGRunFbCn\NoteLogger.dat (şifreli veri)
DOPLUGS bir indirici olduğundan dört arka kapı komutu içerir. Bunlardan biri PlugX kötü amaçlı yazılımını indirir.
Araştırmacılar, kötü amaçlı yazılım dağıtımı, bilgi toplama ve USB tabanlı belge hırsızlığı için KillSomeOne modülüne sahip yeni bir DOPLUGS çeşidi keşfetti.
Önceki sürümün aksine, çeşitli enfeksiyon yöntemleri kullanır. Önceki DOPLUGS varyantıyla benzerlikler mevcut ancak kendine özgü bir enfeksiyon yaklaşımı var.
Bunun yanı sıra, kötü amaçlı bir DLL ve şifrelenmiş veri yükü de dahil olmak üzere dört bileşeni vardır.
Earth Preta, hedef odaklı kimlik avı e-postaları ve Google Drive bağlantılarını kullanarak, özellikle Asya-Pasifik ve Avrupa’daki küresel devlet kuruluşlarını hedefliyor.
DOPLUGS kötü amaçlı yazılımı, PlugX’i indirmek için hayati bir araçtır. Bunun yanı sıra, KillSomeOne modül entegrasyonuyla 2018 DOPLUGS çeşidi de keşfedildi; bu, takım iyileştirmelerinin devam ettiğini gösteriyor.
Earth Preta aktif kaldığı için güvenlik ekipleri Earth Preta’nın taktikleri konusunda dikkatli olmalıdır.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.