Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Kaspersky, Kampanyanın Kötü Amaçlı Yazılım Eklentisinin Güncellenmiş Sürümünü Kullandığını Söyledi
Akşaya Asokan (asokan_akshaya) •
7 Ocak 2025
Güvenlik araştırmacıları, bilgisayar korsanlarının Orta Doğu’daki internet servis sağlayıcılarını ve devlet kuruluşlarını hedef almak için güncellenmiş bir EagerBee kötü amaçlı yazılım türünü kullandığı konusunda uyarıyor.
Ayrıca bakınız: Siber Kurtarma Başucu Kitabınızı Nasıl Oluşturabilirsiniz?
EagerBee bellekte çalışır ve gelişmiş gizlilik ve güvenlikten kaçınma yetenekleriyle birlikte gelir. Raporda, Kaspersky’nin ortaya çıkardığı en son sürümün çeşitli bilgileri dışarı sızdırabilecek eklentilere sahip olduğu belirtildi.
Kaspersky araştırmacıları, kampanyada kullanılan kötü amaçlı yazılım altyapısına dayanarak yeni varyantın CoughingDown tehdit grubuyla bağlantılı olduğuna inanıyor. Grubun ayrıntıları çok az; bazı araştırmacılar bu varyantı TA428 olarak takip edilen Çinli bir tehdit grubuyla ilişkilendiriyor. EagerBee, güvenlik firması Elastic tarafından ilk olarak 2023 yılında Moğolistan’daki kuruluşları hedef alan bir kampanyanın parçası olarak tespit edildi. 2022’den bu yana aktif olduğu tahmin edilen çerçevenin daha önce LuckyMouse, Emissary Panda ve APT27 olarak takip edilen Çinli bir tehdit grubuyla bağlantısı vardı.
Kaspersky, bilgisayar korsanları tarafından kullanılan ilk vektörü doğrulayamadı ancak kurbanlardan ikisinin Microsft Exchange ProxyLogon kusuru nedeniyle ele geçirildiğini söyledi.
Araştırmacılar, “Saldırganların kullandığı ilk erişim vektörü belirsizliğini koruyor. Ancak onların arka kapıyı açmak için komutları çalıştırdıklarını gözlemledik” dedi.
Bilgisayar korsanları, kötü amaçlı yazılımı, adı verilen bir uzak masaüstü yapılandırmasını kullanarak dağıttı. . Once activated, the variant collects system information and retrieves proxy host and port information.
“Proxy ayrıntıları mevcutsa arka kapı proxy üzerinden bağlanır; aksi takdirde doğrudan C2 sunucusuna bağlanır.
Kötü amaçlı yazılım daha sonra sızdırılan sistem bilgilerini paylaşmak için TCP soketini kullanarak bir bağlantı kurar. Kötü amaçlı yazılım sunucusu, eklenti orkestratörü olarak bilinen bir veriyi, eklentinin yüklenip yüklenmediğini kontrol eden sistem belleğine dağıtır.
Eklenti orkestratörü, dosyaları taşımak veya kopyalamaktan mevcut süreçleri sonlandırmaya kadar çeşitli etkinlikleri gerçekleştirmek için ek dosya, işlem, uzaktan erişim ve ağ yöneticisi eklentileri yükler.
Kaspersky, ProxyLogon kusurunun düzeltilmesinin, en son EagerBee kampanyalarını engellemek için atılacak ilk adım olmayı sürdürdüğünü söyledi.