Kaspersky’nin Securelelist’teki siber güvenlik araştırmacıları, öfkeli Likho Apt olarak bilinen (bazı güvenlik satıcıları tarafından yapışkan kurt adam olarak da adlandırılan) bilinen bir siber casusluk grubunun, öncelikle Rusya ve Belarus’taki örgütleri hedefleyen yeni bir siber saldırı dalgası ile yeniden ortaya çıktığını buldular.
2023’ten beri aktif olan bu grup, daha önce analiz edilen Awaken Likho Grubu ile benzerlikleri paylaşıyor ve Rusya ve Belarus’un bazı bölgelerindeki devlet kurumlarına ve büyük kurumsal yüklenicilere karşı siber saldırılarla bağlantılı.
Kimi hedefliyorlar?
Angry Likho APT, devlet kurumları ve yüklenicileri de dahil olmak üzere büyük kuruluşların çalışanlarına odaklanan yüksek hedefli mızrak aktı e-postaları gönderme geçmişine sahiptir. Bu mesajlar, görünüşte zararsız bir belge ile birlikte zararlı kısayol dosyaları içeren kötü niyetli RAR dosyalarıyla birlikte gelir.
Açıldıktan sonra, arşiv karmaşık bir enfeksiyon zincirini tetikler ve sonuçta Lumma Stealer olarak bilinen bir stealer kötü amaçlı yazılımı kullanır.
Grubun kimlik avı e -postaları ve yem dosyaları akıcı Rusça yazılmıştır, bu da saldırganların muhtemelen yerli Rus konuşmacılar olduğunu düşündürmektedir. Mağdurların çoğunluğu Rusya ve Belarus’tayken, diğer ülkelerde, muhtemelen TOR ve VPN ağlarının araştırmacıları veya kullanıcıları olan bazı tesadüfi hedefler tanımlanmıştır.
Securelist’in blog yazısında bir araya getirilen teknik ayrıntılarına göre, Haziran 2024’te araştırmacılar, Adı altında dağıtılan Angry Likho APT ile ilişkili yeni bir implant keşfetti. FrameworkSurvivor.exe. Meşru Nullsoft Scriptable yükleme sistemi kullanılarak oluşturulan bu implant, kendi kendine ekleyen bir arşiv (SFX) olarak işlev görür.
Yürütme üzerine, dosyaları bir klasöre çıkarır $INTERNET_CACHE ve çok gizli bir komut dosyası başlatır, Helping.cmd. Bu dosya, sırayla, Lumma Stealer’ı sisteme enjekte eden kötü amaçlı bir otomatik komut dosyası yürütür.
Lumma Stealer ne yapıyor?
Lumma Stealer, enfekte olmuş cihazlardan hassas verileri toplamak için tasarlanmıştır. Sistem bilgilerini, yüklü yazılım ayrıntılarını ve çerezler, kullanıcı adları, şifreler, bankacılık kartı numaraları ve bağlantı günlükleri gibi kişisel verileri toplar. Ayrıca Chrome, Firefox ve Opera gibi popüler tarayıcılardan gelen verilerin yanı sıra kripto para cüzdanları ve Metamask ve Authenticator gibi uzantıları da hedefler.
Son etkinlik
Ocak 2025’te, Rus siber güvenlik firması F6 ((daha önce FACCT) Angry Likho Apt’den yeni saldırılar bildirdi. Bu saldırılar görüntü dosyalarını içeriyordu (örn., test.jpg Ve test2.jpg) 2024’te daha önce gözlemlenen bir taktik olan baz64 kodlu kötü amaçlı yükler içeren.
Araştırmacılar ayrıca Angry Likho tarafından kullanılan birkaç yeni komut sunucusu, gibi alanlar da dahil olmak üzere averageorganicfallfawshop Ve distincttangyflippanshop. Bu sunucuları analiz ederek, bazıları aynı yükü paylaşan 60’tan fazla kötü niyetli implant ortaya çıkardılar. Bu, grubun analiz ve tespitten kaçınmak için altyapısını aktif olarak genişlettiğini göstermektedir.
Bununla birlikte, araştırma, öfkeli Likho’nun öngörülebilir bir şekilde olsa tutarlı bir şekilde çalışmaya devam ettiğini göstermektedir. Her seferinde küçük değişiklikler yaparken, yaklaşımları aynı kalır: hedeflenen kimlik avı e-postaları, kendi kendini ekleyen bir arşiv ve hassas verileri çalmak için tasarlanmış bir son yük.