Kötü niyetli aktör “La_Citrix”, kuruluşların Citrix uzak masaüstü protokolü (RDP) VPN sunucularına erişim elde etme ve bunları Rusça Dark Web forumlarında en yüksek teklifi verene satma konusunda itibar kazandı.
Tehdit aktörü, geçmişi 2020’ye dayanan kampanyalarda kimlik bilgilerini çalmak için bir bilgi hırsızı kullanıyordu – ta ki La_Citrix yanlışlıkla kendi bilgisayarına kötü amaçlı yazılım bulaştırana ve kendi verilerini ve diğer çalınan verilerin önbelleğini araştırmacıları Hudson Rock ile tehdit etmek için satana kadar tehdit istihbaratı toplamak için Dark Web’de gizlenen.
Rapora göre, olağandışı bir şeyler olduğuna dair ilk ipucu, Hudson Rock’ın API’sinin çalınan verilerde yaklaşık 300 farklı şirkette çalışan olarak görünen tek bir kullanıcı tespit etmesiydi.
“Hudson Rock’ın raporunda, şaşırtıcı bir şekilde, bu tehdit aktörünün kişisel bilgisayarını kullanarak tüm bilgisayar korsanlığı olaylarını düzenlediği ve bu bilgisayarda yüklü tarayıcıların çeşitli saldırılar için kullanılan kurumsal kimlik bilgilerini depoladığı keşfedildi.”
Ujpon daha derine inerek, Hudson Rock’ın ekibi tehdit aktörünün kimliğini, adresini, telefonunu ve kötü niyetli faaliyetlerine dair kanıtları hızla tespit edebildi.
Raporda, “Hudson Rock, verileri ilgili kolluk kuvvetlerine iletecek” ifadeleri eklendi.