Büyük çaplı ve belki de tek bir grup tarafından yürütülen bir kötü amaçlı yazılım kampanyası, ‘WEXTRACT.EXE .MUI’ adlı dağıtım için yapay olarak iç içe geçmiş dosyalar kullanıyor.
Bu yöntemi kullanan dünya çapında 50.000’den fazla dosya, Redline, RisePro ve Amadey gibi farklı hırsızlar ve yükleyiciler tarafından teslim ediliyor.
Birkaç örnek, Doğu Avrupa’daki siber suçlularla bağlantılı bir Otonom Sistem ile ilişkilendirilmiştir.
OutPost24’teki siber güvenlik araştırmacıları yakın zamanda yeni bir hacker grubunun aynı anda 10 kötü amaçlı yazılımla sisteme saldırdığını tespit etti.
Aynı Anda 10 Kötü Amaçlı Yazılım
“WEXTRACT.EXE .MUI” kötü amaçlı yazılım dağıtım sistemi, hırsızlar ve yükleyiciler gibi çok sayıda kötü amaçlı yazılım örneğini dağıtmak için iç içe geçmiş dolap dosyalarından yararlanan bir sistemdir.
Bu yöntemin karmaşık yürütme sırası düşer ve kötü amaçlı yazılımı ters sırada çalıştırır; bu da güvenlik önlemlerinin aşılmasına yol açabilir.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Bu teknik, yükleyicilerin daha fazla kötü amaçlı yazılım indirmesine neden olabileceğinden birden fazla enfeksiyona yol açabilir.
Şubat 2023’ten 2024’ün başına kadar, Redline, Mystic Stealer, RisePro, Amadey ve SmokeLoader gibi birden fazla kötü amaçlı yazılım ailesini içeren büyük bir kötü amaçlı yazılım dağıtım kampanyası gerçekleştirildi.
Kampanya zaman içerisinde geliştirilerek, karartma araçları ve farklı dağıtım yöntemleri de eklendi.
İki binden fazla örneğin incelenmesi, kurbanların aynı anda birden fazla hırsız ve yükleyici tarafından enfekte edilebileceği bazı kötü amaçlı yazılım kombinasyonlarını ortaya koydu.
Bu durum, kampanyanın altyapısının ve taktiklerinin arkasında tek bir aktörün olduğunu düşündürmektedir.
.webp)
“Unfurling Baldıran” adı verilen kötü amaçlı yazılımları dağıtma kampanyasının diğer aktörlerden dağıtım hizmetleri satın alması muhtemeldir.
İlk aşamaları e-posta ekleri ve saldırıya uğramış veya sahte web sitelerinden yapılan indirmelerdi.
Çoğunlukla AS 203727’yi temel alan altyapı, WEXTRACT ve diğer kötü amaçlı yazılımları dağıtmak için hem özel hem de paylaşılan IP’ler kullanıyor.
Bu, kampanyadan sorumlu olan ancak dağıtım hususlarından bazılarını başkalarına devreden bir aktörü veya kuruluşu belirtir.
Kötü amaçlı yazılım kampanyasında farklı C2 URL’leri ve IP adresleri kullanılıyor; bunlardan bazıları WEXTRACT ile ilgili kötü amaçlı yazılıma özelken, diğerleri diğer kampanyalarda ortak olarak kullanılıyor.
Altyapıdaki çeşitlilik, bu aktörün muhtemelen finansal çıkarların teşvikiyle diğer kampanyalardan örnekler sağlıyor olabileceği öngörüsünü destekliyor.
Yükleme konumları gerçek enfeksiyon bölgelerini göstermese de enfeksiyon kaynakları birkaç ülkeyi kapsıyor.
Aşağıda ülkeleri belirttik:
.webp)
Her zamanki eğilimin aksine, bu büyük kötü amaçlı yazılım saldırısı esas olarak Rusya dahil Batılı kurumları hedef alıyor.
Bu operasyon, bulaşma olasılığını artırmak ve olası geri ödemeleri çeşitlendirmek için farklı türde kötü amaçlı yazılımları aynı anda başlattı.
Çok gelişmiş olmasa da bu “mermi bombası” yöntemi gelecekte tehdit aktörleri tarafından benimsenebilir.
Araştırmacılar, şüpheli indirmeler ve e-postalar konusunda dikkatli olmak için en yeni kötü amaçlı yazılımdan koruma araçlarının kullanılmasını, paketlenmiş dosyaların analizinin yapılmasını ve kullanıcıların dikkatli olmasını önerdi.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files