PikaBot kötü amaçlı yazılımının arkasındaki tehdit aktörleri, kötü amaçlı yazılımda “devralma” durumu olarak tanımlanan önemli değişiklikler yaptı.
Zscaler ThreatLabz araştırmacısı Nikolaos Pantazopoulos, “Yeni bir geliştirme döngüsü ve test aşamasında gibi görünse de geliştiriciler, gelişmiş gizleme tekniklerini kaldırarak ve ağ iletişimini değiştirerek kodun karmaşıklığını azalttı” dedi.
İlk kez Mayıs 2023’te siber güvenlik firması tarafından belgelenen PikaBot, komutları çalıştırabilen ve bir komut ve kontrol (C2) sunucusundan yükleri enjekte edebilen ve aynı zamanda saldırganın virüslü ana bilgisayarı kontrol etmesine olanak tanıyan bir kötü amaçlı yazılım yükleyicisi ve bir arka kapıdır.
Ayrıca, sistemin dilinin Rusça veya Ukraynaca olması durumunda, operatörlerin Rusya veya Ukrayna’da yerleşik olduğunu belirterek yürütmeyi durdurduğu da biliniyor.
Son aylarda hem PikaBot hem de DarkGate adlı başka bir yükleyici, kimlik avı kampanyaları aracılığıyla hedef ağlara ilk erişim elde etmek ve Cobalt Strike’ı düşürmek için Water Curupira (diğer adıyla TA577) gibi tehdit aktörlerinin yerine geçen çekici alternatifler olarak ortaya çıktı.
Zscaler’in PikaBot’un yeni bir sürümüne (sürüm 1.18.32) ilişkin bu ay gözlemlediği analiz, daha basit şifreleme algoritmalarıyla da olsa karartmaya ve analize direnme çabalarının bir parçası olarak geçerli talimatların arasına önemsiz kod eklemeye odaklandığını ortaya çıkardı.
En son yinelemede gözlemlenen bir diğer önemli değişiklik, QakBot’unkine benzer olan tüm bot konfigürasyonunun, çalışma zamanında her bir öğeyi şifreleyip kodunu çözmek yerine, tek bir bellek bloğunda düz metin olarak saklanmasıdır.
Üçüncü değişiklik, kötü amaçlı yazılım geliştiricilerinin trafiği güvence altına almak için kullanılan komut kimliklerini ve şifreleme algoritmasını değiştirmesiyle C2 sunucusu ağ iletişimiyle ilgilidir.
Araştırmacılar, “Son zamanlardaki hareketsizliğine rağmen PikaBot önemli bir siber tehdit olmaya ve sürekli gelişmeye devam ediyor” dedi.
“Ancak geliştiriciler farklı bir yaklaşım benimsemeye ve gelişmiş gizleme özelliklerini kaldırarak PikaBot kodunun karmaşıklık düzeyini azaltmaya karar verdiler.”
Bu gelişme, Proofpoint’in düzinelerce Microsoft Azure ortamını hedef alan ve üst düzey yöneticilere ait olanlar da dahil olmak üzere yüzlerce kullanıcı hesabını ele geçiren, devam eden bir bulut hesabı devralma (ATO) kampanyası hakkında uyarılmasının ardından geldi.
Kasım 2023’ten bu yana devam eden etkinlik, kimlik bilgileri toplamak için kötü amaçlı kimlik avı web sayfalarına bağlantılar içeren sahte dosyalar içeren kişiselleştirilmiş kimlik avı tuzaklarına sahip kullanıcıları seçiyor ve bunları takip eden veri sızdırma, dahili ve harici kimlik avı ve mali dolandırıcılık için kullanıyor.