TA397 Hackerlar, hedeflenen sistemlere kötü amaçlı yazılım dağıtmak için planlanan görevleri kullanır


Proofpoint tehdit araştırması ile yakın zamanda yapılan derinlemesine bir analiz, Hint istihbarat çıkarları ile büyük olasılıkla büyük olasılıkla, devlet destekli bir tehdit aktörü olan acı olarak da bilinen TA397’nin sofistike operasyonlarına ışık tuttu.

Casusluk odaklı bir grup olarak tanımlanan TA397, Avrupa ve Asya’daki, özellikle Çin, Pakistan ve Hint alt kıtasının komşu bölgelerine bağlantıları olan varlıkları aktif olarak hedefliyor.

Ekim 2024 ve Nisan 2025 arasında gözlemlenen kampanyaları, kurbanları cezbetmek için jeopolitik temalardan yararlanan mızrak yazılım taktikleri ile birleştiğinde, planlanan görevlerin kötü amaçlı yazılım dağıtım için temel bir mekanizma olarak kalıcı bir şekilde kullanılmasını ortaya koymaktadır.

– Reklamcılık –
Google Haberleri

Hindistan hizalı bir casusluk grubunun taktikleri

Altyapı zaman damgaları ve uygulamalı klaviye etkinliği ile kanıtlandığı gibi standart Hint standart zaman (IST) çalışma saatleri içinde faaliyet gösteren TA397’nin yöntemleri, tespiti atlatmada ve zeka toplama hedeflerine ulaşmada hem tutarlılığı hem de uyarlanabilirliği sergilemektedir.

TA397’nin birincil saldırı vektörü, cazibelerine güvenilirlik katmak için Madagaskar, Mauritius ve Çin gibi ülkelerden meşru hükümet kuruluşları olarak maskelenen açık e -postalar olmaya devam ediyor.

TA397 Hacker
Yanlış belge, kötü niyetli bir ek içeren kimlik avı e -postasına meşruiyet eklemek için cazibesi.

E-postaları, genellikle hedeflenen sistemlerde planlanmış görevler oluşturan enfeksiyon zincirlerini başlatan meşru dosya paylaşım platformlarında barındırılan kötü niyetli ekler veya URL’ler içerir.

PowerShell ve CMD.EXE gibi araçlar aracılığıyla yürütülen bu görevler, Beacon, her 16 ila 19 dakikada bir alan adlarını sahnelemeye ve bilgisayar adları ve kullanıcı adları gibi kurban tanımlayıcıları aktör kontrollü sunuculara iletir.

Manuel Yük Teslimat

Rapora göre, Proofpoint’in araştırması, TA397’nin Microsoft Search Connector (MSC) dosyaları ve uzaktan kod yürütme için CVE-2024-43572 (GrimResource) gibi istismarlar dahil olmak üzere sık sık ezoterik dosya türleriyle deneylerin, yerleşik çerçeveleri içinde yenilik yapma isteğini gösterdiğini vurgulamaktadır.

TA397 Hacker
TA397’nin enfeksiyon zincirlerine genel bakış.

Operasyonlarının dikkate değer bir yönü, WMRAT, Miyarat ve Bdarkrat gibi ikinci aşama yüklerin manuel olarak dağıtılmasıdır, ancak hedefin sistem numaralandırma verilerine dayanan alaka düzeyini değerlendirdikten sonra, casus kaynaklı bir hassasiyetin ayırt edici özelliğidir.

Gözlemlenen bir kampanya, operatörlerin belirli IST ile uyumlu zaman damgalarında manuel olarak komutlar verdiğini, başarısız yük alımları ve daha sonraki düzeltmeler gibi hataları ortaya çıkardığını ve uygulamalı yaklaşımlarının altını çizdiğini gördü.

Altyapı analizi, alan adı kaydı, pasif DNS ile TA397’yi Hindistan’a daha fazla bağlar ve Sertifika zaman damgalarını sürekli olarak IST çalışma saatleriyle eşleştirirken, Beaconing’deki PHP URL kalıpları ve mağdur verileri, algılama için yüksek güvenilir bir parmak izi sağlar.

Bu göstergeler, siber güvenlik ekiplerinin TA397’nin faaliyetlerini izlemesi ve azaltması için kritik veri noktaları sağlar, bu da gelişen taktiklerine karşı koymak için güçlü e -posta güvenliği ve uç nokta algılama ihtiyacını güçlendirir.

Uzlaşma Göstergeleri (IOC)

GöstergeTipTanımİlk görüldü
mneneutoregsvc[.]comİhtisasEvreleme alanıEkim 2024
Jacknwoods[.]comİhtisasEvreleme alanıKasım 2024
1b67fc55fd050d011d6712ac17315112767cac8bbe059967b70147610933b6c1SHA256LNK Zamanlanmış Görev YükleyiciAralık 2024
hxxp: // 46[.]229[.]55[.]63/svch.php? Li =%computherName%[.][.]%Kullanıcı adı%UrlYük dağıtımAralık 2024
UTizViewStation[.]comİhtisasEvreleme alanıŞubat 2025
Blucolline Soutia[.]comİhtisasEvreleme alanıMart 2025
Princecleanit[.]comİhtisasEvreleme alanıMart 2025

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link