Rus kuruluşları, Decoy Dog adlı kötü amaçlı yazılımın Windows sürümünü yaydığı tespit edilen siber saldırıların hedefi oluyor.
Siber güvenlik şirketi Positive Technologies, faaliyet kümesini Lahat Operasyonu adı altında izliyor ve bunu, Lahat adı verilen gelişmiş kalıcı tehdit (APT) grubuna atfediyor. Cehennem Avcıları.
Güvenlik araştırmacıları Aleksandr Grigorian ve Stanislav Pyzhov, “Hellhounds grubu, seçtikleri kuruluşlara saldırıyor ve ağlarında bir yer ediniyor ve yıllarca fark edilmeden kalıyor” dedi. “Bunu yaparken grup, savunmasız web hizmetlerinden güvenilir ilişkilere kadar birincil uzlaşma vektörlerinden yararlanıyor.”
HellHounds, firma tarafından ilk kez Kasım 2023’ün sonlarında, isimsiz bir enerji şirketinin Decoy Dog truva atıyla uzlaşmasının ardından belgelendi. Bugüne kadar Rusya’da BT şirketleri, hükümetler, uzay endüstrisi firmaları ve telekom sağlayıcıları da dahil olmak üzere 48 kurbanın ele geçirildiği doğrulandı.
Tehdit aktörünün en az 2021’den bu yana Rus şirketlerini hedef aldığını ve kötü amaçlı yazılımın geliştirilmesinin Kasım 2019’a kadar devam ettiğini gösteren kanıtlar mevcut.
Açık kaynaklı Pupy RAT’ın özel bir çeşidi olan Decoy Dog hakkındaki ayrıntılar, Nisan 2023’te Infoblox’un, kötü amaçlı yazılımın, virüslü ana bilgisayarları uzaktan kontrol etmek için komut ve kontrol (C2) sunucusuyla iletişim için DNS tüneli kullandığını ortaya çıkarmasıyla ortaya çıktı.
Kötü amaçlı yazılımın dikkate değer bir özelliği, kurbanları bir denetleyiciden diğerine taşıyarak tehdit aktörlerinin ele geçirilen makinelerle iletişimi sürdürmesine ve uzun süre gizli kalmasına olanak sağlamasıdır.
Infoblox bir Windows sürümünün olasılığını ima etse de, gelişmiş araç kitini içeren saldırılar esas olarak Rusya ve Doğu Avrupa ile sınırlıydı; yalnızca Linux sistemlerini ele almaya bile gerek yok.
Infoblox, Temmuz 2023’te “Kodda Windows’a yapılan atıflar, yeni Decoy Dog yeteneklerini içeren güncellenmiş bir Windows istemcisinin varlığına işaret ediyor, ancak mevcut örneklerin tümü Linux’u hedef alıyor” dedi.
Positive Technologies’in en son bulguları, Windows için Decoy Dog’un aynı sürümünün varlığını doğruluyor; bu sürüm, görev açısından kritik ana bilgisayarlara, yükün şifresini çözecek anahtarı almak için özel bir altyapı kullanan bir yükleyici aracılığıyla teslim ediliyor.
Daha ileri analizler, HellHounds’un Linux çalıştıran ana bilgisayarlardaki kimlik bilgilerini elde etmek için 3snake olarak bilinen başka bir açık kaynaklı programın değiştirilmiş bir versiyonunu kullandığını ortaya çıkardı.
Positive Technologies, en az iki olayda saldırganın, güvenliği ihlal edilmiş Secure Shell (SSH) oturum açma kimlik bilgilerini kullanan bir yüklenici aracılığıyla kurbanların altyapısına ilk erişimi elde etmeyi başardığını söyledi.
Araştırmacılar, “Saldırganlar uzun süredir Rusya’daki kritik organizasyonların içinde varlıklarını sürdürebiliyorlar” dedi.
“Hemen hemen tüm Hellhounds araç seti açık kaynaklı projelere dayalı olmasına rağmen, saldırganlar, kötü amaçlı yazılım savunmasını atlatmak ve güvenliği ihlal edilmiş kuruluşlar içinde uzun süreli gizli varlık sağlamak için onu değiştirerek oldukça iyi bir iş çıkardılar.”