S2 Grup İstihbarat Ekibi, .NET’te kodlanmış ve güvenlik araçlarını atlamak için meşru Java yardımcı programlarından yararlanan bir Stealer olan Snake Keylogger olarak bilinen bir Rus-Origin kötü amaçlı yazılımını ortaya çıkardı.
Bir kötü amaçlı yazılım (MAAS) modeli olarak dağıtılan bu operasyon, Orta Doğu’daki artan jeopolitik gerilimler sırasında petrol endüstrisine odaklanan şirketler, hükümetler ve bireyler de dahil olmak üzere çeşitli kurbanları hedeflemektedir.
Petrol ürünleri için teklif olarak gizlenen mızrak aktı e-postaları, kötü niyetli yükler sunmak, İran ve İsrail arasındaki çatışmalar ve küresel petrol fiyatlarını ve lojistiklerini etkileyebilecek Hormuz Boğazı’nın kapatılması gibi potansiyel kesintilerden yararlanıyor.
DLL Sideloading’in Yenilikçi Kullanımı
Kampanya, büyük bir Kazakistan merkezli petrol şirketi olan LLP KSK Petroleum Ltd petrol ve gazını taklit eden mızrak aktı e-postalarına sıkıştırılmış eklere kötü niyetli kod yerleştirerek kurnaz bir teknik kullanıyor.
Rapora göre, bu ekler yeniden adlandırılmış bir meşru Java hata ayıklama aracı olan JSadebugd.exe, şimdi kötü niyetli bağlamlarda ilk kez gözlemleniyor.
Jsadebugd.exe’deki DLL kenar yükleme güvenlik açığından yararlanarak, saldırganlar daha sonra Snake Keylogger’ı meşru kurulum.exe işlemine enjekte eden JLI.DLL adlı kötü niyetli bir DLL yükler.
Tespitten kaçınmak için, beton141.dll adlı bir dosyaya yerleştirilen kötü amaçlı yazılım ikili, verileri güvenlik tarayıcılarını karıştırmak için tasarlanmış bir taktik olan MZ başlığından önce hazırlar.
Kalıcılık için kötü amaçlı yük bir kullanıcı profili dizinine kopyalanır ve kötü amaçlı yazılımın sistem başlatılmasında yürütülmesini sağlamak için bir kayıt defteri anahtarı oluşturulur.
JSadebugd.exe’nin bu yenilikçi kötüye kullanımı, saldırganların yöntemlerinde önemli bir evrimi işaret ediyor ve aynı gruba atfedilen 29 ek örnek, Snake Keylogger varyantlarını dağıtıyor ve koordineli ve kalıcı bir tehdit operasyonu öneriyor.
Kapsamlı veri hırsızlığı
Snake Keylogger, Google Chrome, Mozilla Firefox ve Microsoft Edge gibi kapsamlı bir tarayıcı listesinden ve Microsoft Outlook ve FileZilla gibi uygulamaların yanı sıra gerçekten freegeoip.org gibi meşru web siteleri aracılığıyla IP adresleri ve coğrafi konum verileri gibi hassas bilgileri çıkaran zorlu bir veri hırsızıdır.
Ayrıca, Windows ürün anahtarlarını toplar, SMTP aracılığıyla çalınan verileri, pesfiltrasyon için belirli e -posta adreslerini kullanarak aktarır.
Orta Doğu çatışmalarının jeopolitik fonu, kampanyanın sosyal mühendislik stratejisinde kasıtlı bir tema gibi görünüyor ve muhtemelen petrol endüstrisi organizasyonlarını tedarik zinciri kesintileri korkusu arasında hedefliyor.
Kazakistan’ın Orta Asya’da büyük bir petrol ve gaz üreticisi olarak önemi, kimlik avı yemine güvenilirlik katarak başarılı enfeksiyon olasılığını artırıyor.
Mevcut olayların teknik sofistike ve sömürülmesinin bu karışımı, Snake Keylogger’ın arkasındaki tehdit aktörlerinin uyarlanabilirliğini vurgulamaktadır, çünkü etkileri en üst düzeye çıkarmak ve geleneksel güvenlik önlemlerinden kaçınmak için taktiklerini geliştirmek ve dünya çapında kritik endüstriler için önemli bir risk oluşturmaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin