Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Bitdefender, Yabancı Devlet Kurumlarını Hedefleyen Yeni ‘DownEx’ Kötü Amaçlı Yazılımını Tespit Etti
Jayant Chakraborty (@JayJay_Tech) •
10 Mayıs 2023
Bitdefender’ın bildirdiğine göre, muhtemelen bir Rus devlet bilgisayar korsanlığı grubu, Kazakistan ve Afganistan’da bulunan uluslararası hükümet hedeflerine karşı yeni bir arka kapı konuşlandırıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Siber güvenlik firmasındaki güvenlik araştırmacıları, gözlemlenen saldırıların arkasında Rus devlet bilgisayar korsanlarının olduğuna dair somut kanıtlara sahip değil, ancak düşük güven göstergelerinin Moskova’ya işaret ettiğini söylüyor. En az bir kurban, Kazakistan’da bulunan bir büyükelçilik gibi görünüyor.
Göstergeler arasında, Microsoft Office 2016’nın Rusça konuşulan ülkelerde popüler olan “SpecialisST RePack” olarak bilinen crackli sürümüyle oluşturulan bir yem belgesi de var. Bitdefender’ın DownEx olarak adlandırdığı arka kapının arkasındaki kodlayıcılar da bunu Python ve C++ ile yazdı. Birden fazla programlama dili kullanmak, güvenlik araştırmacılarının daha önce Rus istihbarat grubu APT28’de gördüğü davranıştır.
Bitdefender, DownEx’i ilk olarak 2022’nin sonlarında tespit etti. Araştırmacılar ilk bulaşma vektörünü bilmiyorlar, ancak hedef odaklı kimlik avının muhtemel olduğunu söylüyorlar. Saldırı, “yürütülebilir bir dosyayı bir Microsoft Word belgesi gibi göstermek için .docx dosyalarıyla ilişkili bir simge dosyasını kullanma gibi basit bir teknik kullandı.”
Çalıştırma sırasında DownEx, göze çarpmayacak şekilde tasarlanmış bir Word belgesi yüklerken aynı zamanda bir HTML uygulama komut dosyasını etkinleştirir. Bitdefender tarafından analiz edilen örneklerde, bir komut ve kontrol sunucusundan yük almanın bir sonraki aşaması başarısız oldu, ancak araştırmacılar kalıcılık sağlamak için bunun kötü amaçlı yazılım olacağını düşünüyor.
Yürütmeden sonra DownEx, Word, Excel ve PowerPoint belgeleri, resimler ve videolar, sıkıştırılmış dosyalar ve PDF’ler dahil olmak üzere çok sayıda dosyayı toplamak için yerel ve ağ sürücülerini ayrıştırır. Ayrıca şifreleme anahtarlarını ve QuickBooks günlük dosyalarını arar.
Kötü amaçlı yazılım, parola korumalı bir zip arşivi kullanarak verileri sızdırıyor ve her arşivin boyutunu 30 megabaytla sınırlıyor.
Kazakistan tarihsel olarak bir Rus müttefikidir, ancak iki ülke arasındaki bağlar Rusya’nın 2022’de Ukrayna’yı işgalinin ardından kötüleşti. Orta Asya ülkesi, geçen yılın sonlarında Rusya ile 2019’da imzaladığı 39 milyon dolarlık ortak telekom güvenlik projesini feshetti. Kazakistan Cumhurbaşkanı Kassym-Jomart Tokayev de Rusya’nın ilhak ettiğini iddia ettiği Ukrayna topraklarını tanımayı reddetti ve Rusya Devlet Başkanı Vladimir ile ikili görüşmelerde bulunmadı. Orta Asya devlet başkanları zirvesi sırasında Putin.