Yeni yıl, yeni kötü amaçlı yazılım yetenekleri, paralı bir APT grubu olan DeathStalker tarafından çeşitli sektörlerdeki belirli kuruluşlara sızmak için kullanılan Janicab kötü amaçlı yazılımındaki yeni işlevleri ortaya çıkaran analistler diyor.
adresindeki araştırmacılara göre Kasperskyyeni değişken Avrupa ve Orta Doğu bölgelerinde tespit edildi ve bulaşma zincirinin bir parçası olarak YouTube gibi meşru harici web hizmetlerinden yararlanıyor.
Janicab Kötü Amaçlı Yazılım Analizi
Janicab, modüler, yorumlanmış dilli bir kötü amaçlı yazılımdır; bu, tehdit aktörünün işlevleri veya gömülü dosyaları kolayca ekleyebileceği veya kaldırabileceği anlamına gelir.
Kaspersky verilerine göre, teslimat yöntemi hedefli kimlik avı olmaya devam etse de, daha yeni Janicab varyantları, izinsiz giriş döngüsünde daha sonra kullanılan birden fazla Python dosyası ve diğer yapıları içeren arşivlerin varlığı da dahil olmak üzere önemli yapısal değişikliklerden geçti.
Kurban, kötü amaçlı dosyayı açması için kandırıldığında, bir dizi zincirleme kötü amaçlı yazılım dosyası bırakılır.
“Etkin durumdayken, kötü amaçlı yazılım ekran görüntüleri almak ve ses kaydetmek için sürekli olarak üçüncü taraf bir eklenti kullanıyor ve ardından bunları C&C sunucusuna yüklüyor. Ayrıca, C&C sunucusundan yürütülecek ek komutları da sürekli olarak kontrol eder.” dedim WithSecure tehdit analizi raporu.
“Kötü amaçlı yazılım, bir Apple Developer ID ile imzalanması ve yürütülebilir dosyaların gerçek uzantılarını gizlemek için çift yönlü metin kodlama sisteminin sağdan sola geçersiz kılma (RLO) özelliğini kullanması nedeniyle dikkate değer.”
Janicab bulaşmaları, fidye yazılımı veya dijital şantaj gibi geleneksel siber saldırı sonuçları yerine hedeflenen lojistik ve yasal sorunlara, rakipler için rekabet avantajına, önyargılı beklenmedik denetimlere ve fikri mülkiyetin kötüye kullanılmasına yol açabilir.
Janicab Kötü Amaçlı Yazılım ve DeathStalker
DeathStalker, en az 2012’den beri finans sektöründeki küçük ve orta ölçekli firmalara karşı verimli casusluk saldırıları yürüten gelişmiş bir kalıcı tehdit (APT) grubudur.
Kaspersky keşfetti 2022’de DeathStalker, Janicab dahil yeni kötü amaçlı yazılım kullanıyor.
DeathStalker genellikle finansal yatırım yönetimini (FSI) ve yasal kurumları hedefler. Ancak Kaspersky, seyahat acentelerini etkileyen tehditleri de kaydetti.
Avrupa bölgesi ve Orta Doğu, ülkeler arasında değişen yoğunluk seviyeleri ile DeathStalker için ortak operasyon alanlarıdır.
DeathStalker’ın ayırt edici bir özelliği, daha sonra kötü amaçlı yazılım implantı tarafından şifresi çözülen kodlanmış bir diziyi barındırmak için DDR’leri/web hizmetlerini kullanmasıdır. Kaspersky, 2021 izinsiz girişlerinde eski YouTube bağlantılarının kullanıldığını tespit etti.
Tehdit aktörü, bulunması daha zor olan listelenmemiş web bağlantılarını kullanarak tespit edilmeden çalışabilir ve C2 altyapısını yeniden kullanabilir.
Bu tür izinsiz girişlere karşı korunmak için, bu teknikler herhangi bir izinsiz giriş girişimini etkili bir şekilde engelleyebileceğinden, etkilenen kurumlar uygulama beyaz listesi ve işletim sistemi sağlamlaştırma uygulamalıdır.
Janicab, C2 altyapısıyla iletişim kurmak için Internet Explorer’ı gizli modda kullandığından, GUI olmadan çalışan Internet Explorer işlemlerini aramak da önemlidir.