Kötü şöhretli FIN7 grubuyla örtüşen bir siber suçlu olan Grayalpha ile bağlantılı yeni bir altyapı ortaya çıktı.
En az 2013’ten beri aktif olan bu finansal olarak motive edilen tehdit oyuncusu, perakende, misafirperverliği ve finans sektörlerini hedefleyen sofistike saldırıları ile bilinir.
Özel kötü amaçlı yazılım ortaya çıktı
En son bulgular, Grayalpha’nın, kötü niyetli amaçlar için yaygın olarak istismar edilen bir uzaktan erişim Truva atı olan Netsupport sıçanını çözmek ve yürütmek için tasarlanmış bir PowerShell Loader da dahil olmak üzere özel kötü amaçlı yazılım kullanımını ortaya koyuyor.
.png
)
Buna ek olarak, ikinci bir yükleyici Maskbat, bilinen Fakebat kötü amaçlı yazılımlarla benzerlikler taşır, ancak ağır bir şekilde gizlenir ve Grayalpha’nın operasyonlarına bağlı benzersiz ipler içerir.
Bu keşif, grubun kaçınma tespitinde ve tehlikeye atılan sistemlere erişimi sürdürmedeki kalıcı yeniliğin altını çiziyor.
Insikt Group, Grayalpha tarafından Netsupport sıçanını dağıtmak için kullanılan ve çeşitli ve aldatıcı taktiklerini sergilemek için kullanılan üç temel enfeksiyon vektörünü tanımladı.
Bunlar arasında, Google Meet, SAP Concur ve LexisNexis gibi meşru hizmetleri taklit eden sahte tarayıcı güncelleme sayfaları Nisan 2024’ten bu yana aktif ve kullanıcıları görünüşte zararsız istemlerle kötü niyetli yükler indirmeleri için kandırıyor.
Başka bir vektör, Nisan 2025 kadar yakın zamanda görünen yeni kayıtlı alanlarla aktif kalan hileli 7-ZIP indirme sitelerini içerir.
Enfeksiyon vektörleri sahte güncellemelerden yararlanır
Üçüncü yöntem, Grayalpha’nın daha az bilinen teslimat mekanizmalarını kullanma yeteneğini vurgulayarak daha önce belgelenmemiş TAG-124 Trafik Dağıtım Sistemini (TDS) kullanır.
Altyapı analizi, Stark Industries Solutions (AS44477) gibi kurşun geçirmez barındırma sağlayıcılarına ve Baykov Ilya Sergeevich’e (ORG-HIP1-RIPE) bağlı olan varlıklara, hafifletme çabalarına rağmen kötü niyetli alanlarının ve IP adreslerinin sürekliliğini kolaylaştırdığını ortaya koymaktadır.
Bu ana bilgisayarlar, Grayalpha’nın Tradecraft ile örtüşmeyi güçlendirerek PowerTrash ve Diceloader gibi tarihsel olarak FIN7 kötü amaçlı yazılımlarını desteklemiştir.
Sahte güncelleme siteleri, /download.php gibi uç noktalardan yükler vermeden önce kurban verilerini CDN temalı alanlara aktaran GetipAdDress () ve TrackPageOpen () gibi işlevlere sahip parmak izi komut dosyaları kullanır.
Bu çok aşamalı yaklaşım, yalnızca hedeflenen sistemlerin kötü amaçlı yazılım almasını ve tespiti karmaşıklaştırmasını sağlar.
Bu arada, tarihsel veriler Fin7’nin ileri düzeyde IP-Sccanner gibi yazım hattı alanlarını daha önce kullandığını gösteriyor[.]com 2023 gibi erken bir tarihte Carbanak backroors dağıtmak, şimdi Grayalpha tarafından rafine uzun süredir devam eden bir kimliğe bürünme taktik modelini gösteriyor.
Grubun operasyonel esnekliği, 2018’de ABD DOJ tarafından FIN7 liderlerinin yüksek profilli iddianamelerinden sonra bile, kötü amaçlı yazılım geliştirme, kimlik avı ve işpromasyon sonrası faaliyetler için özel ekiplerle profesyonel bir işletmeye benzer derin bölümlere ayrılmış bir yapıya işaret ediyor.
Savunucular, aldatıcı indirmeleri engellemelerine ve kötü niyetli ve şüpheli istemleri tanımaya odaklanan çalışan eğitimini uygulamaya izin vermeleri istenir.
Gelecekteki ağ istihbaratı gibi araçlar aracılığıyla yara imzaları ve ağ izleme gibi algılama kuralları, gelişen tehditleri tanımlamak için kritik öneme sahiptir.
Siber suçlar profesyonelleşmeye devam ettikçe, Grayalpha gibi grupların devlet destekli APT’lerin kalıcılığını yansıtmasıyla, kuruluşlar bu büyüyen tehditlere karşı koymak için uyanık ve uyarlanabilir kalmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin