Filipinler’deki bir kumar şirketi, Ekim 2021’den beri devam eden bir kampanya kapsamında Çin bağlantılı bir tehdit aktörünün hedefi oldu.
Slovak siber güvenlik firması ESET, adı altında Güneydoğu Asya kumar şirketlerine yönelik bir dizi saldırıyı takip ediyor. ChattyGoblin Operasyonu.
ESET, The Hacker News ile paylaştığı bir raporda, “Bu saldırılar belirli bir taktik kullanıyor: kurban şirketlerin destek temsilcilerini sohbet uygulamaları, özellikle Comm100 ve LiveHelp100 uygulamaları aracılığıyla hedefliyor.”
Kötü amaçlı yazılım dağıtmak için truva atına bulaştırılmış bir Comm100 yükleyicisinin kullanıldığı, ilk olarak Ekim 2022’de CrowdStrike tarafından belgelendi. Şirket, tedarik zincirindeki uzlaşmayı, muhtemelen Çin’le bağlantılı bir tehdit aktörüne bağladı.
Saldırı zincirleri, daha sonra saldırıya uğramış iş istasyonlarına bir Cobalt Strike işareti bırakmak için bir kanal görevi gören başka bir C# yürütülebilir dosyasını konuşlandıran bir C# damlasını dağıtmak için yukarıda bahsedilen sohbet uygulamalarından yararlanır.
ESET’in APT Etkinlik Raporu 2022’nin 4. Çeyreği – 2023’ün 1. Çeyreği arasında Hindistan bağlantılı tehdit aktörleri Donot Team ve SideWinder tarafından Güney Asya’daki devlet kurumlarına yönelik düzenlenen saldırılar da vurgulanmaktadır.
Başka bir dizi sınırlı saldırı, en az 2013’ten beri aktif olan ve Patchwork grubuyla bağları paylaştığına inanılan Konfüçyüs adlı başka bir Hintli APT grubuna bağlandı. Tehdit aktörü, geçmişte Pakistan devlet kurumlarını hedef almak için Pegasus temalı tuzaklar ve diğer sahte belgeler kullanmıştı.
ESET’e göre en son izinsiz giriş, BADNEWS RAT’ın yükseltilmiş bir çeşidi olan Ragnatela adlı bir uzaktan erişim truva atının kullanımını içeriyordu.
Başka bir yerde, siber güvenlik şirketi, OilRig (namı diğer Hazel Sandstorm) olarak anılan İranlı tehdit aktörünün Mango etiketli özel bir implantı İsrailli bir sağlık şirketine yerleştirdiğini tespit ettiğini söyledi.
Microsoft’un kısa süre önce İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı yeni ortaya çıkan bir tehdit kümesi olan Storm-0133’ü yalnızca İsrail yerel hükümet kurumlarını ve savunma, konaklama ve sağlık sektörlerine hizmet veren şirketleri hedef alan saldırılara bağladığını belirtmekte fayda var.
Microsoft, “MOIS grubu, meşru ancak güvenliği ihlal edilmiş İsrail web sitesini komuta ve kontrol (C2) için kullandı ve teknik, savunucuların anormal ağ etkinliğini belirlemek için genellikle coğrafi konum verilerini kullanan çabalarını karmaşıklaştırdığından, operasyonel güvenlikte bir gelişme gösterdi” dedi. , ayrıca Storm-0133’ün bu izinsiz girişlerde Mango kötü amaçlı yazılımına güvendiğine işaret ediyor.
ESET ayrıca, Kuzey Kore destekli Lazarus Group tarafından Ocak 2023’te Accenture temalı bir sosyal mühendislik cazibesi kullanılarak düzenlenen bir saldırının, adı açıklanmayan bir Hintli veri yönetimi hizmetleri sağlayıcısının hedefi olduğunu söyledi.
Şirket, “Saldırganların amacı, büyük olasılıkla iş e-postalarının ele geçirilmesi yoluyla şirketin ağındaki varlıklarından para kazanmaktı” dedi ve bunu geleneksel mağduriyet modellerinden bir değişiklik olarak nitelendirdi.
Lazarus Group’un Şubat 2023’te Polonya’daki bir savunma yüklenicisine, ScoringMathTea adlı bir RAT’ı ve ImprudentCook adlı karmaşık indirilmiş kod adlı bir programı konuşlandırmak için SumatraPDF’nin değiştirilmiş bir sürümünü silahlandıran bir saldırı zinciri başlatmak için sahte iş teklifleri yoluyla ihlal ettiği söyleniyor.
Listenin sonuncusu, Gamaredon, Sandworm, Sednit, The Dukes ve SaintBear gibi Rusya’ya bağlı APT gruplarından gelen ve sonuncusu Elephant kötü amaçlı yazılım çerçevesinin güncellenmiş bir sürümünü ve yeni bir Go’yu kullandığı tespit edilen bir mızraklı kimlik avı etkinliğidir. ElephantLauncher olarak bilinen tabanlı arka kapı.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Zaman diliminde tespit edilen diğer önemli APT faaliyetleri, ESET’in 2022’nin başından beri SturgeonPhisher adı altında izlediği bir grupla güçlü bir şekilde örtüştüğünü söylediği Winter Vivern ve YoroTrooper’ı içeriyor.
YoroTrooper’ın Orta Asya ve Avrupa’da hükümet, enerji ve uluslararası kuruluşları hedef alan saldırılarla en az 2021’den beri aktif olduğundan şüpheleniliyor.
Taktiklerinin Mart 2023’te kamuoyuna açıklanmasının “faaliyette büyük bir düşüşe” yol açarak grubun şu anda cephaneliğini yeniden donatma ve çalışma tarzını değiştirme olasılığını artırdığından şüpheleniliyor.
ESET’in bulguları, Kaspersky’nin 2023’ün 1. Çeyreğine ilişkin APT trendleri raporunu takip ediyor.
Rus siber güvenlik şirketi ayrıca, Pakistan’daki bir devlet kuruluşunu hedef alan ve bir APT aktörünün aktif saldırılarda programlama dilini kullandığı ender örneklerden biri olan DreamLand olarak adlandırılan Lua tabanlı yeni bir kötü amaçlı yazılım türünün keşfedilmesine dikkat çekti.
Kaspersky araştırmacıları, “Kötü amaçlı yazılım modülerdir ve tespit edilmesi zor olan kötü amaçlı kodları yürütmek için Tam Zamanında (JIT) derleyicisiyle birlikte Lua komut dosyası dilini kullanır.” dedi.
“Ayrıca çeşitli hata ayıklama önleme yeteneklerine sahiptir ve faaliyetlerini yürütmek için C dili bağlarından yararlanan Lua FFI aracılığıyla Windows API’lerini kullanır.”