“Kütüphaneci Ghouls” olarak bilinen gelişmiş Kalıcı Tehdit (APT) grubu, “nadir kurt adam” ve “Rezet” olarak da izlenir, Rusya ve Bağımsız Devletler Topluluğu (CI) ‘nin son derece karmaşık yazılım dağıtım kampanyalarıyla aktif olarak hedefliyor.
Mayıs 2025’e kadar aktif olan bu grup, birincil enfeksiyon vektörü olarak hedeflenen kimlik avı e -postaları kullanan Rus şirketlerine tutarlı bir odaklanma göstermiştir.
Genellikle güvenilir kuruluşlardan meşru iletişim olarak gizlenen bu e-postalar, kötü niyetli yürütülebilir dosyalara sahip şifre korumalı arşivler içerir.
.png
)
Gelişmiş kimlik avı ve kötü amaçlı yazılım taktikleri açıklandı
Mağdurlar bu dosyaları açıp yürüttükten sonra, karmaşık bir enfeksiyon zinciri başlar ve faaliyetlerini maskelemek ve algılamayı engellemek için meşru üçüncü taraf yazılımı kullanır.
Güvenli Liste Raporuna göre, bu yaklaşım sadece ilişkilendirmeyi karmaşıklaştırmakla kalmaz, aynı zamanda saldırganların uzaktan erişim araçlarını dağıtmasına, hassas kimlik bilgilerini çalmasına ve uzlaşmış sistemlerde XMRIG gibi kripto madenciliği kötü amaçlı yazılımları yüklemesine izin verir.
Teknik taktiklerini daha derinlemesine inceleyen kütüphaneci Ghouls, Windows için Smart Install Maker gibi araçlarla hazırlanmış kendi kendine ekleyen montajcılar aracılığıyla enfeksiyonlar başlatır.
Bu yükleyiciler, kurbanın sistemindeki görünür aktiviteyi en aza indirmek için 4T Tepsi Minimer gibi görünüşte zararsız yazılımları dağıtırken, aynı zamanda C: \ Intel gibi dizinlere kötü niyetli bileşenleri çıkarır.
Buradan, rzet.cmd gibi komut dosyaları, komut ve kontrol (C2) sunucularına bağlanma gibi bağlanma gibi[.]RU, JPG dosyaları olarak gizlenmiş ek yükleri indirmek için ancak uzaktan erişim için AnyDesk, SMTP tabanlı veri eksfiltrasyonu için BLAS ve Windows Defender’ı devre dışı bırakmak için Defender Control gibi yürütülebilir ürünlere yeniden adlandırıldı.
Kötü niyetli niyet için meşru araçlardan yararlanmak
Bat.bat gibi daha sonraki toplu iş dosyaları, herhangi bir kişi ile katılımsız erişim kurmak, güvenlik önlemlerini devre dışı bırakma ve kullanıcı şüphesinden kaçınmak için sistemleri belirli zamanlarda uyandırmak veya kapatma görevlerinin planlanması da dahil olmak üzere bir dizi kötü amaçlı eylem düzenleyin.
PowerShell komut dosyaları, uzaktan sömürü için sistem kullanılabilirliğini sağlamak için Microsoft Edge’in günlük aktivasyonlarını daha da otomatikleştirir.
Saldırganların veri sıkıştırma için değiştirilmiş bir Winrar 3.80 (Driver.exe) dahil özelleştirilmiş meşru araçları kullanması ve WebBrowserPassView gibi yardımcı programlar, kimlik bilgisi hırsızlığı için, kötü niyetli niyeti güvenilir yazılımla harmanlama stratejilerinin altını çiziyor.
Kullanıcı-posta gibi kimlik avı alanlarını dağıtmaları[.]RU TO E -posta kimlik bilgilerini hasat etmek ve madencilerin BMApps’tan getirilen konfigürasyonlar yoluyla kurulumu[.]ORG, bölgedeki etkiyi en üst düzeye çıkarmak için endüstriyel işletmeleri ve Rus dili tuzaklarıyla eğitim kurumlarını hedefleyen operasyonlarının çok yönlü doğasını vurgulamaktadır.
Kuruluşların uyanık kalmaları, güvenlik protokollerini güncellemeleri ve bu göstergeleri bu kalıcı ve gelişen tehdit aktörünün ortaya koyduğu riskleri azaltmak için izlemeleri istenmektedir.
Uzlaşma Göstergeleri (IOC)
Aşağıda, siber güvenlik ekiplerinin potansiyel tehditleri izlemesi ve savunması için Kütüphaneci Ghouls kampanyasıyla ilişkili IOC’lerin küratörlü bir listesi verilmiştir:
| Tip | Gösterge (SHA256) |
|---|---|
| İmplant | D8edd46220059541ff397f74bfd27136dda702c6b1869e8a081c71f595a9e68 |
| Kötü niyetli arşiv | Fd58900ea22b38bad2ef3d1b8b74f5c7023b8ca8a5b69f8cfbe28b2c585baf |
| Kötü niyetli yarasa dosyası | E880a1bb0e7d422b78a54b35b3f53e348ab27425f1c561db120c0411da5c1ce9 |
| Maden Yükleyicisi (Install.exe) | 649E35AD29945E8DD6511192483DDDFFE516A1312DE5E0BD17FDDD0A258C27F |
| Kötü niyetli alan | geri çekilme[.]ru |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.