Cyble Research & Intelligence Labs (CRIL) kısa süre önce endişe verici bir siber güvenlik gelişimini ortaya çıkardı: Bir tehdit aktörü, yeni bir siber saldırı dalgasının ortaya çıkışına işaret ederek SectopRAT’ı yaymak için Amadey botunu kullandı.
Bu operasyon, artık Amadey bot kötü amaçlı yazılımı ve SectopRAT ile güçlerini birleştirerek kötü niyetli bir ittifak oluşturan LummaC bilgi hırsızı etrafında toplanıyor.
CRIL’in araştırması, bu kampanyanın karmaşık ayrıntılarına ışık tutarak, LummaC hırsızından kaynaklanan SectopRAT yükünü dağıtmak için Amadey bot kötü amaçlı yazılımının nasıl kullanıldığını vurguladı.
Rusça konuşulan forumlarda bulunan LummaC bilgi hırsızı, bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modeli altında çalışarak güvenliği ihlal edilmiş cihazlardan yasa dışı bir şekilde hassas verileri toplamasına olanak tanır.
Hedefleri arasında kripto para cüzdanları, iki faktörlü kimlik doğrulama kodları, tarayıcı uzantıları ve diğer kritik dosya ve belgeler yer alır.
LummaC bilgi hırsızı, Amadey botu ve SectopRAT: Saldırı zincirini anlamak
LummaC, Amadey ve SectopRAT arasındaki bu işbirliği, bir dizi etkinlikte çalışır ve kurbanlarından bilgi çaldıktan sonra döngülerini tamamlar.
LummaC, Amadey botunun yüklenmesini stratejik olarak kolaylaştırır ve SectopRAT’ı her köşeden kurbanları hedeflemeye getirir.
Bu toplu çaba sistemlere sızarken, arkasında bir kaos izi bırakır: veri hırsızlığı, yük dağıtımı ve kripto para birimi bilgilerinin çalınması.
Bu saldırı kampanyasının nasıl çalıştığını anlamak için öncelikle her tehditle ilişkili olaylara aşina olmalıyız.
Yeni başlayanlar için, LummaC bilgi hırsızı, Amadey bot olarak bilinen ikincil bir kötü amaçlı yazılım yükünü tanıtarak kampanyasına benzersiz bir dokunuş katıyor.
Bu bot, kopyalamada kesinlik sergiler ve başlangıç klasörü içindeki gizli bir LNK dosyası aracılığıyla erişim kazanır. LNK dosyası etkinleştirildiğinde, kurbanın cihazında bir enfeksiyon zinciri başlatan bir dizi olay başlatır.
LummaC Stealer ise, SectopRAT yükünü getirerek karşılık veren Amadey bot kötü amaçlı yazılımını alır.
Bu karmaşık etkileşim ağı genellikle LummaC’nin bilgi hırsızının meşru yazılım kaynakları gibi davranan kimlik avı web siteleri aracılığıyla istismar etmesiyle başlar. Hırsız, bu kılık değiştirerek kurbanın sistemlerine sızar ve bundan şüphelenmeyen bilgisayarlara girer.
LummaC bilgi hırsızlığı kampanyasının teknik analizi
LummaC bilgi hırsızının teknik analizini inceleyen CRIL, hacker grubunun kötü amaçlı yükü için ZIP dosyalarını taşıyıcı olarak kullandığını tespit etti. “Newest_Setup_123_UseAs_PassKey.zip” ve “Passw0rdz_113355_Open_Setup_App.zip” gibi isimler altında gizlenen bu dosyalar, kurbanları tuzağa düşürerek onları sonsuz bir uçuruma sürükler.
Bu saldırı stratejisinin merkezinde iki yürütülebilir dosya, “Setup.exe” ve 32-bit GUI tabanlı bir .NET Reactor yürütülebilir dosyası bulunur.
Başlatıldıktan sonra, bu dosyalar kurbanın cihazından hassas verileri çıkarır. LummaC bilgi hırsızı kurbanlara sızarken işletim sistemi bilgileri, donanım yapılandırması ve ekran çözünürlükleri gibi sistem ayrıntılarını titizlikle toplar.
Ek olarak, kripto para cüzdanları ve iki faktörlü kimlik doğrulama uzantıları hakkında bilgi çıkarmaya özel olarak odaklanarak kurbanın web tarayıcısına yerleşir.
Ardından, çalınan bilgiler bir komuta ve kontrol sunucusuna iletilir ve böylece saldırı zinciri tamamlanır.
2018’de keşfedilen çok yönlü bir kötü amaçlı yazılım olan Amadey Bot, saldırılarına ek kötü amaçlı yazılım yükleri eklemek isteyen bilgisayar korsanları için tercih edilen bir araç haline geldi.
Özellikle, Lockbit fidye yazılımı grubunun kurbanları hedef almak için Amadey botundan yararlandığı gözlemlendi.
Cyble tarafından hazırlanan raporda, “2022’de LOCKBIT grubuna bağlı çalışanlar, hedeflerine fidye yazılımı dağıtmak için Amadey botunu kullandı” diyor. Son olarak, bir .NET derleyicisi kullanılarak geliştirilen popüler bir Uzaktan Erişim Truva Atı (RAT) olan SectopRAT, bu kampanyanın son yükünü temsil ediyor.
Çeşitli yeteneklere sahip SectopRAT, tarayıcı verilerini çıkarabilir, kripto para cüzdanlarına sızabilir ve hatta gizli bir ikincil masaüstü oluşturarak tarayıcı oturumlarını manipüle edebilir. Anti-VM ve Anti-Emulator mekanizmalarını kullanan SectopRAT, arka planda gizlice çalışarak, şüphelenmeyen kurbanlardan bilgi sızdırıyor.
LummaC-Amadey-SectopRAT ittifakının keşfi, siber tehdit karmaşıklığında yeni bir düzeyi ortaya koyuyor. Bu düzenlenmiş saldırı zinciri, veri toplamadan yük dağıtımına kadar siber suçluların gelişen taktiklerini açıklıyor.