Albion çevrimiçi oyun topluluğunu hedefleyen sofistike bir kimlik avı kampanyası ortaya çıkarıldı ve elektronik sınır vakfının (EFF) taklit edilmesini ve gelişmiş kötü amaçlı yazılımların dağıtılmasını içeren karmaşık bir operasyonu ortaya çıkardı.
4 Mart 2025’te keşfedilen kampanya, saygın organizasyonlara olan güvenden yararlanmak ve oyun ortamlarının sürükleyici doğasından yararlanmak için siber suçluların gelişen taktiklerini sergiliyor.
Kod yorumlarına dayanarak Rusça konuştuklarına inanılan tehdit aktörleri, kötü niyetli yükleri ve tuzak belgelerini barındırmak için açık bir dizin kullandılar.
83.217.208.90 IP adresinde tanımlanan bu altyapı, kötü amaçlı yazılım sunumunu kolaylaştırmak için tasarlanmış PDF’ler, zip arşivleri ve PowerShell komut dosyalarının bir karışımını içeriyordu.
Birincil yük, iki kötü amaçlı yazılım ailesinden oluşuyordu: bir kimlik bilgisi çalan Stealc ve açık kaynaklı bir komut ve kontrol çerçevesi olan piramid C2.
Gelişmiş kötü amaçlı yazılım teslimi ve altyapı
Saldırı zinciri, bir PowerShell komut dosyasını yürüterek yürütme politikalarını atlayan bir Windows kısayol (LNK) dosyası ile başlar.
Bu komut dosyası, arka planda kötü niyetli bileşenleri çıkarırken ve yürütürken EFF’den bir tuzak PDF açar.
ZLIB sıkıştırma ve Base64 kodlaması kullanılarak gizlenen kötü amaçlı yazılım, 104.245.240.19:443 ve 212.87.222.84:443 dahil olmak üzere birden fazla komut ve kontrol sunucusu ile iletişim kurar.
Kötü amaçlı yazılım davranışının av analizi, Piramit C2’nin şifreli dosyalar sunmak için kullanıldığını, potansiyel olarak uç nokta tespiti ve yanıt (EDR) çözümlerinden kaçındığını ortaya koydu.
Bu arada Stealc Stealer, verileri komut ve kontrol sunucusuna ekspiltratlamadan önce popüler web tarayıcılarından kimlik bilgilerini çıkarmaya odaklanır.
Kampanyanın altyapısı tek bir sunucunun ötesine uzanır ve hepsi ortak SSH tuşları aracılığıyla tanımlanan 11 ek IPS, ortağı Hosting Ltd Network’te barındırılır.
Bu kapsamlı ağ ayak izi, iyi kaynaklı ve organize bir işlem önermektedir.
Çıkarımlar ve azaltma stratejileri
Bu kampanya, tehlikeye atılan hesaplarla finansal kazanç potansiyelinin onları siber suçlular için cazip hedefler haline getirdiği çevrimiçi oyun toplulukları için devam eden tehdidi vurgulamaktadır.
EFF’nin kimliğine bürünmesi, kimlik avı girişimlerine bir güvenilirlik katmanı ekleyerek kullanıcıların saygın kuruluşlara olan güvenini kullanır.
Riskleri azaltmak için kullanıcılara, istenmeyen iletişimlerle dikkatli olmaları, resmi kanallar aracılığıyla kaynakların özgünlüğünü doğrulamaları ve etkileşimden önce bağlantı ve bağlantı analizi için güvenlik araçlarını kullanmaları tavsiye edilir.
Oyun endüstrisi ve siber güvenlik topluluğu, bu tür sofistike taklit taktiklerine ve gelişen kötü amaçlı yazılım dağıtım stratejilerine karşı uyanık kalmalıdır.
Bu kampanyanın gösterdiği gibi, sosyal mühendislik, kötü amaçlı yazılım sofistike ve oyun ekosistemlerinin sömürülmesi, siber güvenlik ortamında önemli zorluklar sunmaya devam etmektedir.
Sürekli izleme ve hızlı bilgi paylaşımı, bu tür tehditlerin etkili bir şekilde tespit edilmesi ve azaltılmasında çok önemlidir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free