Rus odaklı ileri süren bir tehdit (APT) kümesi olan Süvari Kurtadam, yeni kötü amaçlı yazılım varyantlarını deneyerek ve telgraf tabanlı komut ve kontrolden (C2) yararlanarak hücum operasyonlarını yoğunlaştırdı.
Güvenlik ekipleri, etkili tespit ve önleme önlemlerini korumak için bu grup tarafından kullanılan araçlara gerçek zamanlı görünürlüğe öncelik vermelidir. Foalshell ve Stallionrat hakkında zamanında içgörü olmadan, savunucular düşman taktiklerini geliştirdikçe geride kalma riskiyle karşı karşıya kalırlar.
Son aylarda Süvari Kurtadam, birden fazla Rus örgütüne karşı hedeflenen kimlik avı kampanyalarına hitap etti.
Saldırganlar Kırgız devlet kurumlarının çalışanlarını – Kültür ve Ticaret Bakanlığı, Kültür, Bilgi, Spor ve Gençlik Politikası ve Ulaştırma ve İletişim Bakanlığı gibi alıcıları kötü niyetli arşivler açmaya kandırmak için taklit ediyor. Bu kimlik avı e -postaları, Foalshell veya Stallionrat ikili dosyalarını içeren RAR eklerini içerir.
Bir kampanya, Kırgız Cumhuriyeti’nin düzenleyici otorite web sitesinden hasat edilen ve muhtemelen tehlikeye atılan meşru bir e -posta adresi kullandı.
Bu gerçek hesabı yeniden düzenleyerek, düşman, gelecekteki operasyonlar için güvenilir altyapıyı ihlal etme yeteneğini göstererek cazibelerinin güvenilirliğini artırdı.
Bu taktik, sofistike kimliğe bürünme çabalarını önlemek için hem gönderen kimliğini hem de içeriği (metin, bağlantılar ve ekler) doğrulama kritik ihtiyacının altını çizmektedir.
Foalshell: Çok dilli bir ters kabuk
Foalshell, Go, C ++ ve C#’da uygulanan Süvari Kurtadam’ın basit ama etkili ters kabuğunu temsil eder. Her sürüm, Saldırganlara Gizli Ana Bilgisayarlarda tam komut satırı erişimini sağlayarak CMD.EXE’nin gizli yürütülmesini sağlar.
Tehdit avcıları, içinde oluşturulan şüpheli arşivleri izleyerek foalshell aktivitesini tespit edebilir %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook ve cmd.exe süreçleri için, %Temp% veya %UserProfile%\Downloads.
Stallionrat ve Telegram tabanlı C2 operasyonları
Go, PowerShell ve Python’da yazılmış Stallionrat, süvari kurtadamın yeteneklerini keyfi komuta yürütme, dosya yükleme ve veri açığa çıkarır. Bu aile C2 kanalı olarak bir telgraf botu kullanıyor.
Bir C ++ başlatıcı, Stallionrat’ı Base64 kodlu bir PowerShell komutu ile tetikler:
textpowershell -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand
Etkin olduktan sonra Stallionrat, her ana bilgisayara rastgele bir cihaz atar ve bilgisayar adını alır. Sıçan, GetUpdates işlevini kullanarak telgraf botunu sürekli olarak anket yapar ve komutları yürütür /go [DeviceID] [command]– /upload [DeviceID]Ve /list.
Enfekte bir ana bilgisayarda gözlemlenen komutlar (CihazID 9139) Runregistry Anahtarlar, SOCKS5 Proxy Dağıtım, Reversesocks5Agent ve Çevre Keşif Komutları ipconfig /all– netstatVe whoami.
Bu eylemleri tespit etmek için güvenlik ekipleri, PowerShell lansmanları için korelasyon kurallarını yapılandırmalıdır. -EncodedCommand ve dosya oluşturmayı izleyin C:\Users\Public\Libraries ve Şüpheli Kayıt Defteri Değişiklikleri HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
Tehdit ufkunun genişletilmesi
Tacik dili arşivlerinin kanıtı (Номерхои коргархо new.rar) ve saldırgan makinelerindeki Arapça adlandırılan dosyalar, süvari kurtadam operasyonlarının Rusya ve CIS ülkelerinin ötesinde Orta Asya ve Orta Doğu’ya kadar uzandığını gösteriyor.
Asyncrat gibi ek araçlar, araç setlerinde de bulunabilir, bu da kötü amaçlı yazılım yeteneklerinin sürekli geliştirilmesini ve çeşitlendirilmesini gösterir.
Süvari kurtadamına karşı etkili savunma, sürekli siber tehdit istihbarat izleme ve hızlı tehdit avcılık hipotezlerini talep ediyor.
Kuruluşlar otomatik telemetri analizini entegre etmeli, yeni Foalshell ve Stallionrat davranışları için algılama imzalarını düzenli olarak güncellemeli ve e -posta gönderenleri yüzeysel kontrollerin ötesinde doğrulamalıdır. Sadece uyanık takım görünürlüğü ve proaktif avcılık yoluyla güvenlik ekipleri bu gelişen apt’in önünde kalabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.