Pullu Wolf Advanced Painsent Tehdit (APT) çetesi, Doctor Web’in analistleri tarafından keşfedilen sofistike bir hedefli saldırıda bir Rus mühendislik şirketini bir kez daha hedefledi. Bu, grubun kurumsal sırlar elde etmeye kararlı olduğunu göstermektedir.
2015 ortalarında meydana gelen bu olay, 2023’te benzer bir saldırıyı yineliyor ve grubun ağlara sızmak için modüler arka planlar kullanıyor.
En son operasyon Mayıs 2025’in başlarında finansal belgeler olarak görünen bir kimlik avı e -postası barajıyla başladı.
Bu e-postalar, aldatıcı PDF tuzakları ve parola korumalı zip arşivleri içeriyordu.
Siber Casusluk Kampanyası
Yürütme üzerine, bu dosyalar Trojan.updatar.2 ve Trojan.updatar.3 dahil olmak üzere sonraki kötü amaçlı yazılım bileşenlerini almak için tasarlanmış bir indirici olan Trojan.updatar.1’i dağıtır.
Bu arka kapı, statik analizden kaçmak için rockYou’nun randomize xor kodlama ve sözlük dizelerini kullanan bir teknikten yararlanan bir teknikten yararlanan bir teknikle veri eksfiltrasyonunu, sistem keşiflerini ve kalıcı erişimi kolaylaştırır.
Saldırı zinciri, korunmasız sistemlerden ve yanal hareket taktiklerinden yararlanarak çoklu uç noktalarda ortaya çıktı.
İlk kurban makinesinde, Dr.Web Antivirus, Trojan.updatar.1 eksik olan 1 bir saat içinde ek modülleri başarıyla kurdu ve metasploit çerçevesinden BITS hizmet görevleri aracılığıyla metasploit çerçevesinden dağıtılmasını sağladı.
Saldırganlar daha sonra dosya hırsızlığı için filemanager.exe, tool.handleKatz için LSASS işlemi için lSASS işlemi için boşaltma ve uzaktan erişim için RDP sargısı (program.rdpwrap.7) kullandı. Tool.chisel ve tool.frp gibi trafik tünelleme araçları aktivitelerini daha da maskeledi.
Uzaktan komut yürütme için çalıntı kimlik bilgileri kullanılarak 14 Mayıs’ta ikinci bir cihaza yanal yayıldı, ardından antivirüs otomatik girişimleri engelledikten sonra güncelleme modüllerinin manuel olarak kurulumu. 3 Haziran’a kadar, Meterpreter gömüldü ve kabuk erişimi verdi.
Pullu Kurt Operasyonlarında Kötü Yazılım Arsenal
Üçüncü sistemin uzlaşması, 23 Haziran’da RDP kimlik bilgisi istismarından başlayarak saldırganların uyarlanabilirliğini vurguladı.
77.105.161.30 adresini hedefleyen Base64 PowerShell komut dosyalarında kodlanan ilk metasploit yükler, DPC: Bat.starter.613 gibi Dr.Web tespitleri tarafından engellendi.
Grup, Remcom’a döndü (Program.Remoteadmin.877), istisnalar ve gerçek zamanlı izleme deaktivasyonu için SET-MPPReference gibi PowerShell CMDLET’leri aracılığıyla Windows Defender’ı devre dışı bırakmak için komutlar yürüttü.
Dr.Web Hizmetlerine (örneğin, “Name = ‘DrwebavService’ ‘” yol adını almaya karşı sorgular korumaları tanımlamayı ve nötralize etmeyi amaçlarken, BITS aktarımları Shellcode.exe (backdoor.shell.244) ve installer.exe (trojan.updatar.1) dağıtım yapmaya çalıştı. Bu çabalara rağmen, antivirüs müdahaleleri yükleri engelledi.
Altyapı analizi, Roscosmosmeet dahil olmak üzere birden fazla C2 alanı ortaya çıkardı[.]İndirmeler için çevrimiçi, güncelleme hizmetleri[.]Trojan.updatar.3 İletişim ve Adobe-updater gibi diğerleri için com[.]açık.
Artifacts, kötü amaçlı yazılımları, önceki kampanyalarla tutarlı olarak pullu kurtla ilişkilendirdi, özel araçlar için hizmet olarak kötü amaçlı yazılımlardan ve Metasploit gibi açık kaynak yardımcı programlarından kaçınarak, kullanıcılara sahte güvenlik uyarıları sergileyen tuzak uygulamalarının yanı sıra.
Trojan.Uploader.36875 gibi ek kullanılmayan örnekler, eksfiltrasyon ve backdoor.siggen.5423 için VNC kontrolü için grubun genişleyen cephaneliğinin altını çizin.
Bu saldırı, Spaal Wolf gibi APT aktörlerinin kimlik avı, kimlik gerçeği hırsızlığı ve temizleme sonrası araçları savunmaları atlamak için işleyen tehdit manzarasının altını çiziyor.
Kuruluşlar, varsayılan ayarlar genellikle belirlenmiş rakiplere karşı yetersiz olduğunu kanıtladığı için, bu tür kalıcı müdahaleleri azaltmak için kapsamlı antivirüs konfigürasyonlarına, zamanında yamalama ve uyanık izlemeye öncelik vermelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!