Siber güvenlik araştırmacıları, tehdit aktörleri arasındaki taktik benzerlikleri, Romcom Rat ve dublajlı bir yükleyici teslim ettiği gözlemlenen bir küme Aktarıcı.
Enterprise Güvenlik Firması Proofpoint, TransferLoader ile ilişkili etkinliği dublajlı bir gruba izliyor Unk_greensec ve takma adın altındaki romcom sıçan aktörleri TA829. İkincisi ayrıca Puro, Nebulous Mantis, Storm-0978, Tropikal Scorpius, UAC-0180, UAT-5647, UNC2596 ve Void Rabisu isimleri tarafından da bilinir.
Şirket, UNK_GREENSEC’i TA829 ile ilgili soruşturmasının bir parçası olarak keşfettiğini ve “benzer bir altyapı, teslimat taktikleri, açılış sayfaları ve e -posta cazibesi temaları” kullanarak tanımladığını söyledi.
TA829, hem casusluk hem de finansal olarak motive olmuş saldırıları yürütme yeteneği göz önüne alındığında, tehdit ortamında alışılmadık bir hack grubudur. Rusya’ya uyumlu hibrid grubu, küresel hedeflere yönelik saldırılarda ROMCOM sıçanını sunmak için Mozilla Firefox ve Microsoft Windows’taki güvenlik kusurlarının sıfır gün sömürülmesi ile bağlantılıdır.
Bu yılın başlarında Prodaft, tehdit aktörlerinin kurşun geçirmez barındırma sağlayıcılarını, arazi (LOTL) taktiklerini ve şifreli komuta ve kontrol (C2) iletişimini öngörmek için kullanmalarını detaylandırdı.
Öte yandan TransferLoader, ilk olarak Zscaler tehdidi tarafından Morpheus fidye yazılımını isimsiz bir Amerikan hukuk firmasına karşı teslim eden bir kampanyayla bağlantılı olarak belgelendi.
Proofpoint, hem TA829 hem de UNK_GREENSEC tarafından üstlenilen kampanyaların, yukarı akış altyapıları için tehlikeye atılmış mikrotik yönlendiricilere dağıtılan REM proxy hizmetlerine güvendiğini belirtti. Bununla birlikte, bu cihazları ihlal etmek için kullanılan tam yöntem bilinmemektedir.
Proofpoint Tehdit Araştırma Ekibi, “REM proxy cihazları muhtemelen trafiği aktarmak için kullanıcılara kiralanıyor.” Dedi. “Gözlemlenen kampanyalarda, hem TA829 hem de UNK_GREENSEC, hizmeti freemail sağlayıcılardaki yeni hesaplara trafiği hedeflere göndermek için kullanıyor. REM Proxy hizmetleri, TA829 tarafından tehlikeye atılan e -posta hesapları aracılığıyla benzer kampanyalar başlatmak için de kullanıldı.”
Gönderen adreslerinin formatının benzer olduğu göz önüne alındığında – örneğin, [email protected] ve [email protected] – tehdit aktörlerinin muhtemelen e -postaların REM proxy düğümleri aracılığıyla gönderilmesini kolaylaştıran bir tür e -posta oluşturucu yardımcısı kullandığına inanılmaktadır.
Mesajlar, doğrudan gövdeye veya bir PDF ekine gömülü bir bağlantı sağlamak için bir kanal görevi görür. Bağlantıya tıklamak, sanalca, kurbanı sahte bir Google Drive veya Microsoft onedrive sayfasına götüren veya saldırganların ilgisini çekmeyen makineleri filtrelerken, kurbanı sahte bir Google Drive veya Microsoft OneDrive sayfasına götüren bir dizi yeniden yönlendirme başlatır.
Bu aşamada saldırı zincirleri, hedeflerin yönlendirildiği düşman altyapısı farklı olduğundan, nihayetinde UNK_GREENSEC durumunda transfer yükleyicinin yolunu açtığından ve TA829 durumunda Slipscreen adlı bir kötü amaçlı yazılım suşu.
“TA829 ve UNK_GREENSEC, SSH tünellerini kurmak için Putty’nin Plink yardımcı programını dağıttılar ve her ikisi de bu yardımcı programları takip eden etkinlikte barındırmak için IPFS hizmetlerini kullandı.”
Slipscreen, kabuk kodunu doğrudan belleğe şifresini çözmek ve yüklemek ve uzak bir sunucu ile iletişimi başlatmak için tasarlanmış birinci aşama yükleyicidir, ancak hedeflenen bilgisayarın “HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Windows \ Windows \ Windows \ Windows’un son belgesine sahip olduğundan emin olmak için yalnızca bir Windows kayıt defteri kontrolünden sonra.
Enfeksiyon dizisi daha sonra MeltingClaw (diğer adıyla Damascened Peacock) veya Rustyclaw adlı bir indiriciyi dağıtmak için kullanılır, bu daha sonra ShadyHammock veya DustyHammad gibi geri çekilenleri düşürmek için kullanılır, birincisi ROMCom sıçanının güncellenmiş bir versiyonu olan SingleCamper’ı (aka Snipbot) piyasaya sürmek için kullanılır.
DustyHammock, enfekte bir sistemde keşif komutları çalıştırmanın yanı sıra, Planetary Dosya Sistemi (IPFS) ağında barındırılan ek yükleri indirme yeteneği ile donatılmıştır.
TransferSoader’ı yayan kampanyaların, kurbanları görünüşte bir PDF özgeçmişine yol açan bir bağlantıya tıklamaları için iş fırsatı temalı mesajlardan yararlandığı tespit edildi, ancak gerçekte bir IPFS Webshare’den TransferLoader’ın indirilmesine neden oluyor.
TransferLoader’ın birincil amacı radarın altında uçmak ve Hellcat fidye yazılımının yeniden markalı bir versiyonu olan Metasploit ve Morpheus Ransomware gibi daha fazla kötü amaçlı yazılım sunmaktır.
“TA829 kampanyalarından farklı olarak, TransferLoader kampanyalarının JavaScript bileşenleri, kullanıcıları aynı sunucuda farklı bir PHP uç noktasına yönlendirdi, bu da operatörün daha fazla sunucu tarafı filtreleme yapmasına izin verdi.” Dedi. “Unk_greensec, genellikle OneDrive parodi ile alakasız olan dinamik bir açılış sayfası kullandı ve kullanıcıları bir IPFS webshare’de depolanan son yüke yönlendirdi.”
TA829 ve UNK_GREENSEC arasındaki örtüşen tradecraft dört olasılıktan birini yükseltiyor –
- Tehdit aktörleri aynı üçüncü taraf sağlayıcıdan dağıtım ve altyapı temin ediyor
- TA829, altyapıyı kendi başına edinir ve dağıtır ve bu hizmetleri unk_greensec’e sunmuştur
- UNK_GREENSEC, genellikle Warez’i TA829’a sunan, ancak kendi kötü amaçlı yazılımını, transfer yükleyicisini teslim etmek için geçici olarak kullanmaya karar veren altyapı sağlayıcısıdır.
- TA829 ve UNK_GREENSEC bir ve aynıdır ve TransferLoader, kötü amaçlı yazılım cephaneliğine yeni bir ektir
“Mevcut tehdit manzarasında, siber suç ve casusluk faaliyetinin örtüştüğü noktalar artmaya devam ederek suçlu ve devlet aktörlerini ayıran ayırt edici engelleri ortadan kaldırır.” Dedi. “Kampanyalar, göstergeler ve tehdit aktör davranışları birleşti, ekosistem içindeki atıf ve kümelenmeyi daha zor hale getirdi.”
“TA829 ve UNK_GREENSEC arasındaki ilişkinin kesin doğasını doğrulamak için yeterli kanıt olmasa da, gruplar arasında çok fazla bir bağlantı var.”