Daha önce bilinmeyen bir tehdit aktörü lakaplı HaberPenguen yaklaşmakta olan uluslararası denizcilik fuarını bir yem olarak kullanarak Pakistan varlıklarını hedef alan bir kimlik avı kampanyasıyla bağlantılıdır.
BlackBerry Araştırma ve İstihbarat Ekibi, “Saldırgan, PIMEC-23 için bir sergileme kılavuzu olduğu iddia edilen, silah haline getirilmiş bir belge eklenmiş olarak, hedefli kimlik avı e-postaları gönderdi.”
PİMECPakistan Uluslararası Denizcilik Fuarı ve Konferansı’nın kısaltması, bir girişim Pakistan Donanması’na ait ve Denizcilik Bakanlığı tarafından “denizcilik sektöründe gelişmeye hızlı bir başlangıç” amacıyla organize ediliyor. 10-12 Şubat 2023 tarihleri arasında yapılması planlanıyor.
Kanadalı siber güvenlik şirketi, saldırıların mesaj alıcılarını görünüşte zararsız Microsoft Word belgesini açmaları için kandırarak denizle ilgili varlıkları ve etkinliğin ziyaretçilerini hedef almak için tasarlandığını söyledi.
Belge başlatıldıktan sonra, yalnızca istek Pakistan’da bulunan bir IP adresinden gönderilirse eseri döndürmek üzere yapılandırılmış, aktör tarafından kontrol edilen bir sunucudan sonraki aşama yükünü almak için uzak şablon enjeksiyonu adı verilen bir yöntem kullanılır.
BlackBerry, sunucunun herhangi bir parola koruması olmayan iki ZIP arşiv dosyası barındırdığını bulduğunu söyledi; bunlardan biri, korumalı alanları ve sanal makineleri atlayabilen gizli bir casusluk aracı olarak işlev gören bir Windows yürütülebilir dosyası (updates.exe) içerir.
Dahası, ikili dosyanın içeriği, XOR anahtarının “penguen” olduğu XOR şifreleme algoritmasıyla şifrelenir. Arka kapıyı içeren HTTP yanıtı, Content-Disposition yanıt başlığında “getlatestnews” olarak ayarlanmış name parametresiyle birlikte gelir.
NewsPenguin adı, yaygın olmayan XOR anahtarına ve ad parametresine bir göndermedir; BlackBerry, kötü amaçlı yazılımı şu anda bilinen herhangi bir tehdit aktörü veya grubuna bağlayan hiçbir taktik çakışma bulamamaktadır.
Yükleri barındıran alanın analizi, 30 Haziran 2022’den beri kayıtlı olduğunu gösteriyor ve bu da kampanya için bir düzeyde önceden planlama yapıldığını ve aynı anda araç setini yinelemek için adımlar atıldığını gösteriyor.
BlackBerry, “Hedef Pakistan Donanması tarafından yürütülen bir olay olduğundan, tehdit aktörünün bunun mali amaçlı bir saldırı olmasından ziyade aktif olarak devlet kurumlarını hedef aldığını ima ediyor” dedi.