Mali motivasyona sahip bilgisayar korsanları, ağırlıklı olarak Ukrayna hükümeti ve idari kuruluşlarını hedef alan bir dizi kimlik avı kampanyasında SmokeLoader kötü amaçlı yazılımından yararlanıyor.
Kimlik avı kampanyası
Ukrayna SSSCIP Devlet Siber Koruma Merkezi (SCPC), Palo Alto Networks Unit 42 araştırma ekibiyle birlikte SmokeLoader kötü amaçlı yazılımının dağıtımıyla bağlantılı büyük bir kimlik avı kampanyasını izliyor.
Araştırmacılar, özellikle Mayıs ve Kasım 2023 arasındaki 23 kimlik avı kampanyasını analiz etti. Bu kısa ama büyük ve tekrarlanan kampanyalar sırasında saldırganlar, hükümet ve yönetim, savunma, telekomünikasyon, perakende ve finans sektörlerindeki kuruluşların mali departmanlarını hedef almak için hedef odaklı kimlik avı e-postaları kullandı.
Kurumsal hesaplarla ilişkili güvenden yararlanarak daha önce güvenliği ihlal edilmiş e-posta adreslerinden yararlandılar. E-posta konularının tamamı ödeme ve faturalandırmayla ilgiliydi ve e-postalar, önceki ihlallerden çalınan yasal mali belgeleri içeriyordu.
Saldırganların e-postaların orijinal görünmesini sağlama çabalarına rağmen, e-postanın konusu ve gövdesindeki metinlerde sıklıkla yazım hataları ve karışık Ukraynaca ve Rusça kelimeler bulunuyordu.
Saldırganlar, kullanıcıları görünüşte zararsız bir belgeyi açmaya kandırmak için çift dosya uzantılarından yararlandı.
Ayrıca kullanıcıları kandırmak, kalıcılığı sürdürmek, bilgi toplamak ve ağ içinde yanal hareket etmek için meşru Windows yardımcı programlarından da yararlandılar.
Çok dilli dosyalar kullanarak, bu tür dosyaları yorumlayamayabilecek geleneksel e-posta korumalarını aşmayı başardılar.
Son olarak saldırganların çoğunlukla 2022 yılına ait eski SmokeLoader sürümlerinden yararlandığı görüldü.
“Son 7 ayda SmokeLoader kullanımıyla analiz edilen saldırıların periyodikliği dikkate alındığında, bu noktada benzer kimlik avı kampanyalarının ayda en az iki defadan daha az bir sıklıkta düzenlenmesinin pek olası olmadığı sonucuna varılabilir ( Araştırmacılar, “aylık olarak düzenlenen kampanyaların hesaplanan ortalama sayısının (medyan) değerine dayanmaktadır” dedi.
SmokeLoader kötü amaçlı yazılımı
SmokeLoader 2011'den beri piyasada ve o zamandan beri çeşitli siber suç forumlarında reklamı yapılıyor.
Bu, arka kapı görevi gören ve genellikle kurbanların cihazlarına diğer kötü amaçlı yazılımları indirip yüklemek için kullanılan bir kötü amaçlı yazılımdır.
Hedeflenen sisteme erişim sağladığında, sistem ayrıntıları veya konum verileri gibi önemli sistem bilgilerini elde edebilir.
Teknolojik gelişmeleri takip etmek ve “sandbox tespiti, opak yüklemler kullanan karmaşık kod, şifrelenmiş fonksiyon blokları, hata ayıklamayı önleme, kancayı engelleme, sanal makineyi engelleme ve özel” gibi tespitten kaçınma tekniklerini geliştirmek için yıllar içinde güncellendi ve değiştirildi. ithalat.”
ESET araştırmacıları ayrıca 2023'ün ikinci yarısında Ukrayna'da SmokeLoader tespitlerinde ani bir artış fark etti ve saldırganların kötü amaçlı yazılımın tespitinden kaçınmak için AceCryptor (hizmet olarak kriptolayıcı) kullandığını kaydetti.
“SmokeLoader'ın ustalığı seçici iletişiminde yatıyor [with command and control (C2) domains]. Ukrayna Ulusal Güvenlik ve Savunma Konseyi'nin bir raporunda, bu alanların birçoğuna kasıtlı olarak erişilemez durumda kaldığı, dikkati dağıtmak ve tespit çabalarını karmaşıklaştırmak için dijital tuzaklar görevi gördüğü belirtildi.