Tehdit oyuncusu olarak bilinen Yapışkan kurtadam daha önce belgelenmemiş bir implant aracılığıyla Lumma Stealer kötü amaçlı yazılımları teslim etmek amacıyla öncelikle Rusya ve Belarus’taki hedeflenen saldırılara bağlanmıştır.
Siber güvenlik şirketi Kaspersky, Likho’yu uyandırmak için “güçlü bir benzerlik” taşıdığını söylediği Angry Likho adı altında etkinliği izliyor (aka çekirdek kurtadam, gamacopy ve psödogamaredon).
Rus şirket, “Ancak, kızgın Likho’nun saldırıları, daha kompakt bir altyapı, sınırlı bir implant yelpazesi ve devlet kurumları ve yüklenicileri de dahil olmak üzere büyük kuruluşların çalışanlarına odaklanarak hedeflenme eğilimindedir.” Dedi.
Enfeksiyon zincirini tetiklemek için kullanılan yem dosyalarında akıcı Rus kullanımı göz önüne alındığında, tehdit aktörlerinin muhtemelen yerli Rus konuşmacılar olduğundan şüpheleniliyor. Geçen ay, Siber Güvenlik Şirketi F6 (eski adıyla FACCT) bunu “Ukrayna yanlısı cyberspy grubu” olarak nitelendirdi.
Saldırganların esas olarak Rusya ve Belarus’taki kuruluşları seçtikleri bulundu ve ilkinde yüzlerce kurban tespit edildi.
Grupla ilişkili önceki saldırı faaliyetleri, Netwire, Rhadamanthys, Ozon Rat ve DarkTrack olarak bilinen ve sonuncusu Ande Loader adlı bir yükleyici aracılığıyla başlatılan bir arka kapı gibi çeşitli kötü amaçlı yazılım ailelerini dağıtmak için bir kanal olarak kimlik avı e -postalarından yararlandı.
Saldırı dizisi, içinde iki Windows kısayolu (LNK) dosyaları ve meşru bir cazibe belgesi olan bir bubi tuzaklı eki (örn. Arşiv dosyaları) taşıyan mızrak aktı e-postalarının kullanılmasını içerir.
Arşiv dosyaları, kötü amaçlı etkinliği bir sonraki aşamaya ilerletmekten sorumludur ve Lumma bilgi stealer’ı dağıtmak için karmaşık bir çok aşamalı işlemi açığa çıkarır.
Kaspersky, “Bu implant, meşru açık kaynaklı yükleyici, Nullsoft Scriptable Install Sistemi kullanılarak oluşturuldu ve kendi kendine ekleyen bir arşiv (SFX) olarak işlev gördü.” Dedi.
Saldırılar, emülatörler ve kum havuzlu ortamlar için bir kontrol yoluyla güvenlik satıcıları tarafından tespit etmek için adımlar atan adımlar içeriyordu, bu da kötü amaçlı yazılımların 10.000 ms’lik bir gecikmeden sonra sonlandırılmasına veya devam etmesine neden olarak, Awaken Likho implantlarında da tespit edilen bir teknik.
Bu örtüşme, iki kampanyanın arkasındaki saldırganların farklı hedefler ve görevler için farklı bir araç kümesi kullanarak aynı teknolojiyi veya aynı grubu paylaşma olasılığını artırdı.
Lumma Stealer, güvenliği ihlal edilmiş cihazlardan sistemi ve yazılım bilgilerini ve çerezler, kullanıcı adları, şifreler, bankacılık kartı numaraları ve bağlantı günlükleri gibi hassas verilerin toplanması için tasarlanmıştır. Ayrıca çeşitli web tarayıcılarından, kripto para birimi cüzdanlarından, Cryptowallet tarayıcı uzantılarından (metamask), kimlik doğrulamalarından ve uygulamalardan anydesk ve keepass’tan veri çalabilir.
Kaspersky, “Grubun en son saldırıları, tarayıcı saklı bankacılık detayları ve kriptowalet dosyaları da dahil olmak üzere enfekte cihazlardan çok miktarda veri toplayan Lumma Stealer’ı kullanıyor.” Dedi.
“Grup, kendi araçlarını geliştirmek yerine Darknet forumlarından elde edilen kolayca mevcut kötü niyetli yardımcı programlara güveniyor. Kendileri yaptıkları tek çalışma, kurbanın cihazına kötü amaçlı yazılım sunumu mekanizmalarını yazmak ve hedeflenen kimlik avı e -postaları hazırlamaktır.”