Husi yanlısı bir grup, Ekim 2019’dan bu yana, sosyal mühendislik taktiklerinden yararlanarak ve askeri temalı yemler kullanarak kurbanları kötü amaçlı yazılımı indirmeye kandırarak Orta Doğu’daki askeri personeli hedef almak amacıyla GuardZoo adlı Android gözetleme yazılımını kullanıyor.
Dendroid adlı önceden var olan bir RAT’a (Uzaktan Erişim Truva Atı) dayanan GuardZoo, saldırganlara enfekte cihaz üzerinde uzaktan kontrol sağlama, veri sızdırma ve potansiyel olarak ek kötü amaçlı yazılım yüklemelerine olanak tanır.
Kampanya aktifliğini sürdürüyor ve Yemen, Suudi Arabistan, Mısır ve Umman’daki kullanıcıları hedefliyor. Google, GuardZoo ile enfekte olmuş hiçbir uygulamanın şu anda Google Play’de mevcut olmadığını doğruladı.
Sızdırılan Dendroid RAT’ın türevi olan GuardZoo, orijinalin PHP web paneli yerine ASP.NET ile oluşturulmuş özel bir C2 arka ucunu kullanıyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Birincil adresi https://wwwgoogl.zapto üzerinden C2 sunucusuyla iletişim kurar.[.]org ve https://somrasdc.ddns adresinde bir yedekleme[.]net. GuardZoo, çoğu kendisine özel ve muhtemelen saldırgan tarafından eklenmiş, çeşitli kötü amaçlı görevler için 60’tan fazla komuta sahiptir.
.webp)
Bir uygulama, tam bir APK güncellemesi gerektirmek yerine, harici DEX dosyalarını bir C2 sunucusundan indirebilir ve yükleyebilir; bu, “
Uygulama daha sonra yeni DEX dosyasını yüklemek için yeniden başlatılır. Bu ikincil yük teslim yöntemi kullanım dışı kalsa da, DEX yükleme kodu hala mevcuttur ve bu da uygulamanın gelecekte bu yönteme geri dönmesine olanak tanır.
.webp)
Yemenli bir kötü amaçlı yazılım olan GuardZoo, C2 iletişimi için YemenNet’e kayıtlı dinamik DNS etki alanlarını, kendinden imzalı sertifikalar kullanarak ve IIS 10 üzerinde ASP.NET arka ucunu kullanarak kullanıyor.
GuardZoo, bir cihazı enfekte ettikten sonra bağlantı kurar ve başlangıç komutlarını alır: belirli bir tarihten sonra oluşturulan belirli coğrafi konum dosyalarını (KMZ, WPT, RTE, TRK) yükleme, hatalar için 15 dakikalık yeniden deneme penceresi ayarlama, yerel günlüğü devre dışı bırakma ve dosya meta verilerini yükleme.
İletişim HTTPS üzerinden gerçekleşir, ancak istek gövdesi şifrelenmez.
.webp)
Bir kötü amaçlı yazılım ailesi olan GuardZoo, en azından Aralık 2022’den bu yana Orta Doğu’daki cihazları hedef alıyor ve kullanıcıları askeri, dini ve e-kitaplar gibi çeşitli temalarla kandırıp yüklemeye kandırıyor.
İlk enfeksiyon vektörleri WhatsApp, WhatsApp Business ve tarayıcı indirmeleridir.
Güvenli olmayan C2 sunucusu kayıtları, kurbanların çoğunlukla Yemen, Suudi Arabistan ve Mısır’da bulunduğunu, daha az sayıda kurbanın ise Umman, Birleşik Arap Emirlikleri, Türkiye ve Katar’da bulunduğunu ortaya koyuyor.
Kayıtlarda ayrıca mağdur cihazların IP adresleri ve mobil operatör bilgileri de yer alıyor.
.webp)
Lookout’un C2 sunucusuna ilişkin yaptığı analiz, sunucunun 18 Mart 2019’da Birleşik Arap Emirlikleri’ndeki bir dağıtımcıdan satın alındığını ve muhtemelen Yemen’e hizmet verdiğini ortaya koydu.
Kod tabanının kendisi esas olarak İngilizceydi, ancak kullanıcı arayüzü ve mesajlar Modern Standart Arapça kullanımına işaret ediyordu.
Saat dilimi “Asya/Bağdat” (GMT+3) olarak ayarlanmış ve proje yerel olarak “Proje 500” olarak adlandırılmış, günlük kayıtları hedeflerin Yemen’in uluslararası alanda tanınan hükümeti olan Pro-Hadi güçleri olduğunu gösteriyordu ve bu, Yemen Savunma Bakanlığı’na atıfta bulunan sızdırılmış bir belgeyle daha da doğrulandı.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo