Sahte bir siber tehdit olan Smartapesg, kötü bir şekilde sömürülen bir uzaktan uygulama aracı olan Netsupport sıçanını teslim etmek için önemli bir vektör olarak ortaya çıktı.
Kampanya, kurbanları sahte tarayıcı güncellemelerini indirerek kandırarak ve sonuçta saldırganların enfekte sistemlere yetkisiz erişim elde etmelerini sağlıyor.
Bir bağlantı ağı
Son araştırmalar, Smartapesg’in komuta ve kontrol (C2) altyapısını inceledi ve Netsupport sıçan sunucularına, kripto para dolandırıcılıklarına ve diğer yasadışı faaliyetlere endişe verici çapraz bağlantıları ortaya koydu.
Moldova’da barındırılan, Stark Industries’in altyapısı tarafından desteklenen ve daha sonra diğer sağlayıcılara geçiş yapan üç C2 yönetim düğümü, bu kampanyalarda hayati bir rol oynadı.
Bu düğümler, otomasyon ve yönetim için ISPManager gibi kontrol paneli yazılımından yararlandı ve operasyonel maliyetleri en aza indirmek için ücretsiz denemelerden yararlandı.
Analiz, ek kötü amaçlı altyapıyı ortaya çıkarmak için ilk sunucuların ötesine uzanmıştır.
Özellikle, 2023’teki eski Netsupport sıçan sunucuları hala kurbanlarla aktif olarak iletişim kuruyordu.
Gözlenen x.509 sertifika özelliklerinde güçlü örtüşmeler, Smartapesg’in C2’lerini bu sıçan altyapısına bağladı ve paylaşılan bir tehdit aktörüne veya sıkı bir şekilde bağlantılı bir operasyon ağına ima etti.
Tehdit oyuncusu operasyonları yoluyla döndürmek
Kapsamı genişleten telemetri verileri, Smartapesg, Netsupport sıçan ve hatta ayrı bir uzaktan uygulama aracı olan Quasar Rat arasında çok sayıda bağlantı açtı.
Smartapesg ile bağlantılı Moldovan IP’leri, operasyonları gizlemek için vekiller yoluyla yönlendirme aktivitesi gözlemlenmiştir.
Bir yönetim sunucusu ayrıca kripto para ile ilgili hizmetler ve Quasar Rat C2 düğümleriyle iletişim kurdu.
Bu kavşaklar, finansal kazanç veya genişletilmiş kontrol için çeşitli sistemleri hedefleyen organize, çok yönlü tehdit aktör kampanyaları önermektedir.
Ayrıca, aktif Netsupport sıçan C2 sunucuları, genellikle Rus dili Darknet forumları ile ilişkili daha önceki kamu açıklamalarından aylar sonra tutarlı kötü niyetli faaliyetler göstermiştir.
Bazı ev sahipleri, telgraf veya jabber gibi şifreli mesajlaşma platformlarının kullanılması ve kripto para birimi dolandırıcılığı ile ilgili web sitelerine erişmek de dahil olmak üzere atipik davranış sergiledi.
Smartapesg ve Netsupport sıçan kampanyaları, modern siber suçlu operasyonların kalıcılığını ve uyarlanabilirliğini vurgulamaktadır.
Team CymRU raporuna göre, yaşlı altyapıyı yeniden kullanarak ve operasyonlarını küresel bir ağa dağıtarak, bu kampanyalar tespitten kaçınır ve yayından kaldırma çabalarından sonra bile operasyonel kalır.
Daha da önemlisi, siber güvenlik ekipleri, yeniden kullanılan altyapıyı tanımlamak için “yaşlı” uzlaşma göstergelerini (IOCS) sık sık tekrar gözden geçirmeli ve kapsamlı araştırmalar ve proaktif savunma stratejilerinin önemini vurgulamalıdır.
Yetkililer Smartapesg ve Netsupport sıçan altyapılarının bileşenlerini ortadan kaldırmak için çalışırken, bu kampanyaların arkasındaki tehdit aktörleri taktiklerini geliştirmeye devam ediyor.
Kullanıcılara ve kuruluşlara, özellikle beklenmedik tarayıcı güncelleme istemlerine ve kimlik avı planlarına karşı uyanık kalmaları tavsiye edilir.
Kuruluşlar, son nokta algılama araçlarını uygulayarak ve potansiyel sıçan enfeksiyonlarının belirtileri için telemetri izleyerek savunmaları destekleyebilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free