Kazak Örgütleri ‘Kanlı Kurt’ Siber Saldırılarının Hedefi Oldu


05 Ağu 2024Ravie LakshmananAğ Güvenliği / Tehdit İstihbaratı

Siber Saldırılar

Kazakistan’daki kuruluşlar, tehdit faaliyeti kümesinin hedefi haline geldi Kanlı Kurt STRRAT (diğer adıyla Strigoi Master) adı verilen bir ticari kötü amaçlı yazılımı ileten bir yazılımdır.

Siber güvenlik sağlayıcısı BI.ZONE, yeni bir analizde, “Yeraltı kaynakları üzerinden 80 dolar gibi düşük bir fiyata satılan program, saldırganların kurumsal bilgisayarları kontrol altına almasına ve kısıtlanmış verileri ele geçirmesine olanak tanıyor” dedi.

Siber saldırılarda, ilk erişim vektörü olarak kimlik avı e-postaları kullanılıyor ve alıcıların PDF eklerini açmasını sağlamak için Kazakistan Cumhuriyeti Maliye Bakanlığı ve diğer kurumları taklit ediyor.

Dosya, bir uyumsuzluk bildirimi gibi görünüyor ve kötü amaçlı bir Java arşivi (JAR) dosyasına bağlantılar ile kötü amaçlı yazılımın çalışması için gerekli olan Java yorumlayıcısının kurulum kılavuzunu içeriyor.

Saldırıya meşruiyet kazandırmak amacıyla ikinci bağlantı, ülkenin hükümetinin internet sitesine bağlı bir web sayfasına yönlendiriyor ve ziyaretçilerden portalın çalışır durumda olduğundan emin olmak için Java yüklemeleri isteniyor.

Siber güvenlik

Kazakistan hükümetinin web sitesini taklit eden bir web sitesinde barındırılan STRRAT kötü amaçlı yazılımı (“egov-kz”)[.]”online”), Kayıt Defteri değişikliği yoluyla Windows ana bilgisayarında kalıcılığı ayarlar ve JAR dosyasını her 30 dakikada bir çalıştırır.

Dahası, JAR dosyasının bir kopyası, sistem yeniden başlatıldığında otomatik olarak başlamasını sağlamak için Windows başlangıç ​​klasörüne kopyalanır.

Daha sonra, saldırıya uğrayan makineden işletim sistemi sürümü ve yüklü antivirüs yazılımı ile Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook ve Thunderbird’deki hesap verileri gibi hassas bilgileri sızdırmak için bir Pastebin sunucusuyla bağlantı kurar.

Ayrıca sunucudan daha fazla yük indirmek ve yürütmek için ek komutlar almak, tuş vuruşlarını kaydetmek, cmd.exe veya PowerShell kullanarak komutları çalıştırmak, sistemi yeniden başlatmak veya kapatmak, bir proxy yüklemek ve kendini kaldırmak için tasarlanmıştır.

BI.ZONE, “JAR gibi daha az yaygın dosya türlerini kullanmak, saldırganların savunmaları aşmasını sağlar,” dedi. “Pastebin gibi meşru web hizmetlerini kullanarak tehlikeye atılan sistemle iletişim kurmak, ağ güvenlik çözümlerinden kaçınmayı mümkün kılar.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link