TA558 Bilgisayar Korsanları Geniş Ölçekli Kötü Amaçlı Yazılım Saldırıları için Görüntüleri Silahlandırıyor


16 Nis 2024Haber odasıTehdit İstihbaratı / Uç Nokta Güvenliği

Kötü Amaçlı Yazılım Saldırıları

Tehdit aktörü şu şekilde takip edildi: TA558 Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger ve XWorm gibi çok çeşitli kötü amaçlı yazılımları dağıtmak için steganografiden bir şaşırtma tekniği olarak yararlanıldığı gözlemlendi.

Rus siber güvenlik şirketi Positive Technologies Pazartesi günkü bir raporunda, “Grup, VBS’leri, PowerShell kodunu ve gömülü bir istismar içeren RTF belgelerini, görsellerin ve metin dosyalarının içine göndererek steganografiden kapsamlı bir şekilde yararlandı.” dedi.

Kampanya, steganografiye dayanması ve Greatloverstory.vbs ve easytolove.vbs gibi dosya adlarının seçimi nedeniyle SteganoAmor kod adını aldı.

Saldırıların çoğunluğu Latin Amerika ülkelerindeki sanayi, hizmet, kamu, elektrik ve inşaat sektörlerini hedef alsa da Rusya, Romanya ve Türkiye’deki şirketler de hedef alındı.

Siber güvenlik

Gelişme, TA558’in İspanya, Meksika, ABD, Kolombiya, Portekiz, Brezilya, Dominik Cumhuriyeti ve Arjantin’de bulunan işletmeleri hedef alan kimlik avı saldırıları yoluyla Venom RAT’ı kullandığının tespit edilmesiyle ortaya çıktı.

Her şey, Denklem Düzenleyicisi’ndeki (CVE-2017-11882) yamalı bir güvenlik açığından yararlanarak bir sonraki aşamayı getiren bir Visual Basic Komut Dosyası indiren, bubi tuzaklı bir e-posta Microsoft Excel eki içeren bir kimlik avı e-postasıyla başlar. macundan yük[.]Evet.

Gizlenmiş kötü amaçlı kod, Base64 kodlu bir bileşenle gömülü olarak gelen harici bir URL’den iki görüntünün indirilmesiyle ilgilenir ve sonuçta Ajan Tesla kötü amaçlı yazılımını tehlikeye atılan ana bilgisayarda çalıştırır.

Kötü Amaçlı Yazılım Saldırıları

Ajan Tesla’nın ötesinde, saldırı zincirinin diğer varyantları, uzaktan erişim, veri hırsızlığı ve ikincil yüklerin teslimi için tasarlanmış FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger ve XWorm gibi çeşitli kötü amaçlı yazılımların ortaya çıkmasına yol açtı.

Kimlik avı e-postaları, mesajlara biraz güvenilirlik kazandırmak ve e-posta ağ geçitleri tarafından engellenme olasılığını en aza indirmek için meşru ancak güvenliği ihlal edilmiş SMTP sunucularından gönderilir. Ayrıca TA558’in çalınan verileri hazırlamak için virüslü FTP sunucularını kullandığı da tespit edildi.

Açıklama, Google Chrome’dan kimlik bilgilerini toplamak için LazyStealer adlı kötü amaçlı yazılımla Rusya, Belarus, Kazakistan, Özbekistan, Kırgızistan, Tacikistan ve Ermenistan’daki devlet kuruluşlarını hedef alan bir dizi kimlik avı saldırısının arka planında geldi.

Siber güvenlik

Positive Technologies, çalınan verileri alan Telegram botlarını kontrol ettiği söylenen kullanıcının (joekoala) adına atıfla Lazy Koala adı altındaki aktivite kümesini takip ediyor.

Bununla birlikte, kurban coğrafyası ve kötü amaçlı yazılım eserleri, Cisco Talos tarafından YoroTrooper (diğer adıyla SturgeonPhisher) adı altında takip edilen başka bir bilgisayar korsanlığı grubuyla potansiyel bağlantılara işaret ediyor.

Güvenlik araştırmacısı Vladislav Lunin, “Grubun ana aracı, koruması tespitten kaçmaya, analizi yavaşlatmaya, çalınan tüm verileri ele geçirmeye ve bunu her yıl kötü niyetli aktörler arasında popülerlik kazanan Telegram’a göndermeye yardımcı olan ilkel bir hırsızdır.” söz konusu.

Bulgular aynı zamanda FatalRAT ve SolarMarker gibi kötü amaçlı yazılım ailelerini yaymak için tasarlanan bir dizi sosyal mühendislik kampanyasının da ardından geldi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link