Gözetleme işlevlerini yürüten kötü amaçlı yazılım kullanılarak Libyalıları hedef alan bir gelişmiş kalıcı tehdit (APT) saldırısı dalgası tespit edildi.
Check Point Research tarafından tespit edilen Stealth Soldier kötü amaçlı yazılımı, öncelikle dosya hırsızlığı, ekran ve mikrofon kaydı, tuş vuruşu kaydı ve tarayıcı bilgilerini çalma gibi gözetim işlevlerini yerine getirir. Bu kötü amaçlı yazılım aynı zamanda belgelenmemiş, özel modüler bir arka kapı ekler ve araştırmacılar en son sürümün muhtemelen Şubat ayında teslim edildiğini iddia eder.
Check Point araştırmacıları, en eski versiyonun geçen Ekim ayında derlendiğini ve komuta ve kontrol (C2) ağının, devlet kurumlarına yönelik hedefli kimlik avı kampanyalarında kullanılan daha geniş bir altyapı kümesinin parçası olduğuna inandıklarını söyledi.
Şirket, kötü amaçlı C2 sunucularının daha geniş bir etki alanı kümesiyle ilişkili olduğuna dair göstergeler olduğunu ve bu sunucuların muhtemelen kimlik avı kampanyaları için kullanıldığını belirtti. Bazı alan adları ayrıca Libya Dışişleri Bakanlığı’na ait siteler gibi görünmektedir.
Check Point’teki tehdit istihbarat grubu yöneticisi Sergey Shykevich, indiricinin dağıtım mekanizmasının şu anda bilinmediğini, ancak kullanılan en olası taktiğin kimlik avı mesajları olduğunu söylüyor. Altyapıya baktığında, araştırmacıların “Libya hükümetini hedef almaya vurgu gördüklerini” söylüyor.
Geçmişe Bağlantılar?
Stealth Soldier altyapısı, 2019’da Mısır hedeflerine karşı yürütülen “Eye on the Nile” kampanyasında kullanılan altyapıyla bazı örtüşmelere sahip. Araştırmacılar bunun, bu tehdit aktörünün o zamandan beri ilk olası yeniden ortaya çıkışı olduğuna inanıyor. Shykevich, Stealth Soldier kötü amaçlı yazılımını kullanan Mısırlı kullanıcılara yönelik herhangi bir saldırı tespit edilmediğini doğruladı.
Bununla birlikte, Check Point araştırmacılarına göre Stealth Solder kötü amaçlı yazılımındaki C2’nin 8. sürümü birden çok Eye on the Nile etki alanı tarafından çözüldü ve Eye on the Nile alanlarıyla bilinen birkaç altyapı çakışması da tespit edildi.
Eye on the Nile ve Stealth Soldier kötü amaçlı yazılım türlerinin aynı saldırganlar tarafından kullanıldığına mı yoksa potansiyel olarak kiralanmış C2’ler ve kullanılan kötü amaçlı yazılımlarla aynı olup olmadığına inanıp inanmadığı sorulduğunda, Shykevich kanıtların “mevcut kampanya ile Eye on the Nile arasındaki bağlantı konusunda bize orta düzeyde güven verdiğini söylüyor: Sadece gördüğümüz örtüşmelere dayanarak, bunun aynı grup olduğunu %100 güvenle iddia etmek zor, ancak bir olması büyük şans.”
Araştırmacılar, Libya’nın genellikle APT raporlarının odak noktası olmadığını kabul ediyor, ancak soruşturma, bu kampanyanın arkasındaki saldırganların siyasi amaçlara sahip olduğunu ve Libya hedeflerine karşı gözetleme ve casusluk operasyonları yürütmek için Stealth Soldier kötü amaçlı yazılımını ve önemli kimlik avı etki alanları ağını kullandığını gösteriyor. .
Araştırmacılar, “Kötü amaçlı yazılımın modüler yapısı ve birden fazla bulaşma aşamasının kullanımı göz önüne alındığında, saldırganların yakın gelecekte taktiklerini ve tekniklerini geliştirmeye ve bu kötü amaçlı yazılımın yeni sürümlerini dağıtmaya devam etmesi muhtemeldir.”