En Son Siber Casusluk Saldırılarında Değiştirilmiş RAT’leri Kullanan Web Kurdu Hackerları


Web kurdu korsanları

Takma ad altında izlenen bir tehdit aktörü Web kurdu bazılarının dağıtım öncesi veya test aşamasında olduğu söylenen Windows tabanlı ısmarlama uzaktan erişim truva atlarına bağlandı.

Broadcom Software’in bir parçası olan Symantec Threat Hunter ekibi The Hacker News ile paylaşılan bir raporda, “Grup, Trochilus RAT, Gh0st RAT ve 9002 RAT dahil olmak üzere üç eski uzaktan erişim truva atının (RAT) özelleştirilmiş sürümlerini geliştirdi” dedi.

Siber güvenlik

Siber güvenlik firması, birden fazla Asya ülkesinde faaliyet gösteren bir BT hizmet sağlayıcısına yönelik bir saldırıda uzlaşma göstergelerinden (IOC) en az birinin kullanıldığını söyledi.

Her üç arka kapının da öncelikle Taş Panda (APT10), Aurora Panda (APT17), Elçi Panda (APT27) ve Yargı Panda (APT31) gibi Çinli tehdit aktörleriyle ilişkili olduğunu belirtmekte fayda var. diğer bilgisayar korsanlığı grupları tarafından kullanılmaya başlandı.

Symantec, Webworm tehdit aktörünün, bu Mayıs ayı başlarında Positive Technologies tarafından Rus havacılık endüstrisinde yeni kötü amaçlı yazılımlarla çarpıcı varlıklar bulunan Space Pirates olarak belgelenen başka bir yeni düşman kolektifiyle taktiksel örtüşmeler gösterdiğini söyledi.

Uzay Korsanları, kendi adına, sömürü sonrası modülerin ortak kullanımı nedeniyle Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Renkli Panda (TA428) ve Night Dragon olarak bilinen daha önce tanımlanmış Çin casusluk faaliyeti ile kesişiyor. PlugX ve ShadowPad gibi RAT’ler.

Kötü amaçlı yazılım cephanesindeki diğer araçlar arasında Zupdax, Deed RAT, Gh0st RAT’ın BH_A006 olarak bilinen değiştirilmiş bir sürümü ve MyKLoadClient bulunur.

Siber güvenlik

2017’den beri aktif olan Webworm, Rusya, Gürcistan, Moğolistan ve diğer birkaç Asya ülkesinde bulunan BT hizmetleri, havacılık ve elektrik enerjisi endüstrilerinde yer alan çarpıcı devlet kurumları ve işletmelerinin bir geçmişine sahiptir.

Saldırı zincirleri, Trochilus, Gh0st ve 9002 uzaktan erişim truva atlarının değiştirilmiş sürümlerini başlatmak için tasarlanmış bir yükleyiciyi barındıran damlalıklı kötü amaçlı yazılımların kullanımını içerir. Siber güvenlik firması, değişikliklerin çoğunun tespitten kaçınmayı amaçladığını söyledi.

Araştırmacılar, “Webworm’un daha eski ve bazı durumlarda açık kaynaklı, kötü amaçlı yazılımların özelleştirilmiş sürümlerini kullanması ve ayrıca Space Pirates olarak bilinen grupla kod çakışmaları, bunların aynı tehdit grubu olabileceğini gösteriyor” dedi.

“Ancak, bu tür araçların ortak kullanımı ve bu bölgedeki gruplar arasında araç alışverişi, farklı tehdit gruplarının izlerini gizleyebiliyor, bu da muhtemelen bu yaklaşımın benimsenmesinin nedenlerinden biri, bir diğeri ise karmaşık geliştirmeler olarak maliyettir. kötü amaçlı yazılım hem para hem de zaman açısından pahalı olabilir.”





Source link