Tehdit oyuncusu olarak bilinen Nadir kurtadam (Eskiden nadir Wolf) Rusya’yı ve Bağımsız Devletler Topluluğu (BDT) ülkelerini hedefleyen bir dizi siber saldırıya bağlanmıştır.
Kaspersky, “Bu tehdidin ayırt edici bir özelliği, saldırganların kendi kötü niyetli ikili dosyalarını geliştirmek için meşru üçüncü taraf yazılımı kullanmayı tercih etmeleridir.” Dedi. “Bu makalede açıklanan kampanyanın kötü niyetli işlevselliği, komut dosyaları ve PowerShell komut dosyaları aracılığıyla uygulanmaktadır.”
Saldırıların amacı, tehlikeye atılan ana bilgisayarlara ve sifon kimlik bilgilerine uzaktan erişim sağlamak ve XMRIG kripto para madencisini dağıtmaktır. Etkinlik, Belarus ve Kazakistan’da da daha az sayıda enfeksiyonla endüstriyel işletmeleri ve mühendislik okullarını kapsayan yüzlerce Rus kullanıcısını etkiledi.
Kütüphaneci Ghouls ve Rzet isimleri tarafından da bilinen nadir kurtadam, Rusya ve Ukrayna’da çarpıcı organizasyonların geçmişine sahip gelişmiş bir Kalıcı Tehdit (APT) grubuna atanan takma ad. En azından 2019’dan beri aktif olduğuna inanılıyor.
Bi.zone’a göre, tehdit oyuncusu kimlik avı e -postalarını kullanarak ilk erişim elde eder, belgeleri çalmak için dayanaktan yararlanır, telgraf messenger verileri ve MIPKO çalışan monitörü, WebBrowserPassView ve Defender kontrolü gibi enfekte sistemle etkileşime girer, şifreleri hasat eder ve antivirus yazılımını devre dışı bırakır.
Kaspersky tarafından belgelenen en son saldırılar seti, kimlik avı e-postalarının kötü amaçlı yazılım dağıtım aracı olarak kullanılmasını, enfeksiyonu etkinleştirmek için bir başlangıç noktası olarak yürütülebilir dosyalar içeren şifre korumalı arşivleri kullanarak ortaya çıkar.
Arşiv içinde, 4T Tepsi Minimer adlı meşru bir aracı ve bir ödeme siparişini taklit eden bir tuzak PDF belgesi de dahil olmak üzere diğer yükleri dağıtmak için kullanılan bir yükleyici bulunur.
Kaspersky, “Bu yazılım, sistem tepsisine çalışan uygulamaları en aza indirebilir ve saldırganların tehlikeye atılan sistemdeki varlığını gizlemelerine izin verebilir.” Dedi.
Bu ara yükler daha sonra, SMTP üzerinden saldırgan kontrollü bir e-posta adresine çalınan verileri göndermek için meşru bir yardımcı program olan Defender Control ve Blat dahil olmak üzere uzak bir sunucudan ek dosyalar almak için kullanılır. Saldırılar aynı zamanda AnyDesk uzak masaüstü yazılımının kullanımı ve veri hırsızlığını ve madencinin dağıtımını kolaylaştırmak için bir Windows toplu komut dosyası ile karakterize edilir.
Toplu komut dosyasının göze çarpan bir yönü, kurban sistemini yerel saatle 1’de otomatik olarak uyandırmak ve saldırganların Anydesk aracılığıyla dört saatlik bir pencere için uzaktan erişimine izin veren bir PowerShell komut dosyası başlatmasıdır. Makine daha sonra planlanmış bir görevle sabah 5’te kapatılır.
Kaspersky, “Üçüncü taraf meşru yazılımları kötü niyetli amaçlar için kullanmak yaygın bir tekniktir, bu da APT aktivitesini tespit etmeyi ve ilişkilendirmeyi zorlaştırır.” Dedi. “Tüm kötü amaçlı işlevsellik hala yükleyici, komut ve PowerShell komut dosyalarına güveniyor.”
Açıklama, pozitif teknolojilerin, Darkgaboon olarak adlandırılan finansal olarak motive olmuş bir siber suç grubunun Lockbit 3.0 fidye yazılımı kullanan Rus varlıklarını hedeflediğini ortaya koydu. İlk olarak Ocak 2025’te keşfedilen Darkgaboon’un Mayıs 2023’ten beri faaliyete geçtiği söyleniyor.
Şirket, saldırıların, RTF yem belgeleri ve Windows ekran koruyucu dosyaları içeren arşiv dosyaları taşıyan kimlik avı e -postaları kullandığını ve Lockbit şifresini ve Xworm ve Revenge Rat gibi truva atlarını bırakmak için kullandığını söyledi. Çıkabilen takımların kullanımı, saldırganların daha geniş siber suçlu aktivite ve zorluk atıf çabaları ile karışma girişimi olarak görülmektedir.
“DarkGaboon, Lockbit Raas hizmetinin bir müşterisi değildir ve Lockbit fidye yazılımlarının halka açık bir versiyonunun kullanımı, saldırıya uğrayan şirketlerde veri açığa çıkma izlerinin olmaması ve geleneksel tehditler ile belirtildiği gibi, bağımsız olarak hareket eder. [data leak site] Portal, “Pozitif Teknolojiler Araştırmacı Victor Kazakov.