En son siber güvenlik haberlerinde araştırmacılar, Tatar dili konuşan kullanıcıları hedef alan yeni bir Python kötü amaçlı yazılımı buldu. Tatar dili, öncelikle Rusya ve komşu ülkelerdeki etnik bir grup olan Tatarlar tarafından konuşulan bir Türk dilidir.
Cyble tarafından üretilen bu Python kötü amaçlı yazılım türü, kurbanın sistemlerinde ekran görüntüleri yakalayabilir ve bunları FTP (Dosya Aktarım Protokolü) aracılığıyla uzak bir sunucuya gönderebilir.
Bu ağ protokolü, dosya ve klasörlerin internet gibi TCP tabanlı bir ağ aracılığıyla bir ana bilgisayardan diğer bir ana bilgisayara aktarılmasına olanak tanır.
Bu kampanyanın arkasındaki fail, kötü şöhretli TA866 tehdit aktörüdür. Bu kötü şöhretli kuruluş, Tatar dilini konuşanları hedef alıyor ve operasyonları için Python kötü amaçlı yazılımından yararlanıyor.
TA866 tehdit aktörü Python kötü amaçlı yazılımını şu şekilde kullanıyor:
CRIL, TA866 tehdit aktörünün Tatar Cumhuriyet Bayramı’na denk gelen bu yeni Python kötü amaçlı yazılımını kullandığını tespit etti. Bu saldırılar Tatar Cumhuriyet Bayramı ile birlikte ağustos ayı sonuna kadar devam etti.
Araştırmaya göre TA866 tehdit aktörü, “ekran görüntüleri almaktan ve bunları uzak bir FTP sunucusuna yüklemekten sorumlu” bir PowerShell betiği kullanıyor.
Python kötü amaçlı yazılım saldırısını başlatmak için tehdit aktörleri, kurbanları hedeflemek amacıyla kimlik avı e-postaları kullanır. Bu e-postalar kötü amaçlı bir RAR dosyasına katıştırılmıştır.
Bu dosya görünüşte zararsız iki dosyadan oluşur: bir video dosyası ve çift uzantılı bir görüntü dosyası gibi görünen Python tabanlı bir yürütülebilir dosya.
Yürütüldükten sonra yükleyici bir dizi olayı başlatır. Ek bir yürütülebilir dosyayı ve iki PowerShell komut dosyasını gizleyerek Dropbox’tan bir zip dosyası alır.
Bu komut dosyaları, zamanlanmış bir görevin oluşturulmasını kolaylaştırarak kötü amaçlı yürütülebilir dosyanın yürütülmesini sağlar.
Proofpoint, rapora göre “Ekran Süresi” adı verilen finansal amaçlı bir faaliyete yol açan bu tehdit aktörünün kökenlerini buldu. Bu özel saldırı zinciri, Python kötü amaçlı yazılım vakasında gördüğümüze benzer şekilde başlıyor.
Her iki kampanyadan da sorumlu olan TA866 tehdit aktörü, EmberCore ve MirageVision’ı taşıyan bir e-posta eki kullanıyor.
Proofpoint’in bildirdiğine göre, bu iki kampanyanın arkasındaki tehdit aktörü “büyük ölçekte planlı saldırılar gerçekleştirme kapasitesine sahip, iyi organize olmuş bir grup”.
TA866 tehdit aktörü ve özel bilgisayar korsanlığı araçlarının kullanımı
Bu bilgisayar korsanlarının bu karmaşık saldırıları başlatabilmelerinin nedeni, kendi özel araçlarını ve hizmetlerini oluşturmada başarılı olmalarıdır.
Özellikle, finansal motivasyona sahip bir tehdit aktörü olan TA866 tehdit aktörü, ABD ve Almanya’daki kuruluşlara odaklanan benzer kampanyalara dahil edilmiştir.
CRIL’e göre tehdit aktörü, Python aracıyla kurbanın bilgisayarlarına virüs bulaştırmak için RAR dosyasını kullanıyor. Ancak son yükü fırlatmadan önce bir enfeksiyon zincirinden geçer. Buna, tespit edilmekten kaçınmak için Tatar dilindeki dosya adlarından yararlanma da dahildir.
Tehdit aktörü, ekran görüntülerini yakalayıp bir FTP sunucusuna iletmek için gizlice PowerShell komut dosyalarını çalıştırırken kurbanlara bir mesaj görüntüleyen kötü amaçlı bir yürütülebilir dosya kullanıyor.
Bir sonraki aşamada TA866, potansiyel olarak Cobalt Strike işaretçisi, RAT’lar (Uzaktan Erişim Truva Atları), hırsızlar ve diğer kötü amaçlı programlar dahil olmak üzere ek istismar sonrası araçları dağıtır.
Bu bilgisayar korsanlarının kullandığı yüklerin ve kötü amaçlı yazılımların sayısı, bunların çaylak bir grup değil, gelişmiş kötü amaçlı yazılım türleri ve yükleri geliştirmede uzmanlar da dahil olmak üzere yüksek vasıflı siber güvenlik kişilerinden oluşan bir kuruluş olduğunu gösteriyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.