Insikt Group, Venom Spider olarak da bilinen kötü şöhretli finansal olarak motive edilen tehdit aktör Golden Chickens’a atfedilen iki yeni kötü amaçlı yazılım ailesini ortaya çıkardı.
Ocak ve Nisan 2025 arasında aktif olan bu araçlar, grubun Fin6, Cobalt Grubu ve Evilnum gibi elit siber suçlar tarafından uzun zamandır kullanılmış olan Hizmet Olarak Kötü Yazılım (MAAS) platformunda kalıcı bir evrimi işaret ediyor.
British Airways ve Ticketmaster UK gibi kuruluşlara yönelik yüksek profilli saldırılara bağlı altın tavuklar, dünya çapındaki kuruluşlar için ciddi bir risk oluşturan, cephaneliğini kimlik hırsızlığı ve keylogging’e odaklanarak geliştirmeye devam ediyor.
.png
)
Teknik Arıza: Yetenekler ve Sınırlamalar
TerrateAlerv2, tarayıcı kimlik bilgilerini, kripto para birimi cüzdan verilerini ve tarayıcı uzantısı bilgilerini hedefleyen sofistike bir stealer olarak ortaya çıkar.
Chrome’un “Giriş Verileri” veritabanından veri çıkarmak için tasarlanan, Chrome.exe işlemlerini dosya kilitlerini atlamak ve verileri C: \ ProgramData \ Temp \ logindata gibi geçici konumlara kopyalamak için hassas bilgileri toplamaya çalışır.
Bununla birlikte, Temmuz 2024 sonrası güncellemelerde tanıtılan Chrome’un uygulamaya bağlı şifreleme (ABE) tarafından korunan kimlik bilgilerini çözememesi, kritik bir kusur olduğunu ortaya koymaktadır-kodun güncel veya aktif geliştirme altında olduğunu ortaya koymaktadır.
Buna rağmen, Terrasealerv2, telgraf kanallarına toplanan verileri ve Wetransfers’da ikincil komut ve kontrol (C2) uç noktasını püskürtmek[.]IO, yapılandırılmış bildirimlerin ve output.zip gibi sıkıştırılmış arşivlerin bir kombinasyonunu kullanarak.
Dağıtım, aynı şekilde, LNK, MSI, DLL ve EXE dosyaları gibi çeşitli formatlardan yararlanarak, tespitten kaçınmak için genellikle regsvr32.exe ve mshta.exe gibi güvenilir Windows yardımcı programları aracılığıyla yürütülür.
Insikt Group, Ocak ve Mart 2025 arasında on farklı örnek tanımladı ve kötü amaçlı yazılımların sahte iş teklifleriyle spearphing gibi sosyal mühendislik taktikleri aracılığıyla saldırgan yayılmasının altını çizdi.
Paralel olarak, Terralogger, bu gruptan gözlemlenen türünün ilk örneği olan Altın Tavukların Toolkit’e bağımsız bir anahtarlık özelliği getiriyor.
SetWindowShookexa üzerinden düşük seviyeli bir WH_KEYBOard_ll kancası kullanarak tuş vuruşlarını yakalar ve C: \ ProgramData \ Save.txt veya C: \ ProgramData \ A.txt gibi yollarda yerel dosyalara kaydeder.
Pencere başlıklarını ve özel karakterleri titizlikle kaydederken, vardiya anahtar durumları gibi nüansları işlerken, Terralogger veri açığa çıkışından veya C2 iletişim özelliklerinden yoksundur, bu da erken gelişimde modüler bir bileşen olabileceğini düşündürmektedir.
Ocak ve Nisan 2025 arasında derlenen beş numune, Badbullzvenom gibi takma adlar altında çalıştığına inanılan tehdit aktörünün Moldova ve Montreal, Kanada ile bağları ile aktif olarak incelenmesini gösteren artımlı güncellemeler göstermektedir.
Her iki kötü amaçlı yazılım ailesinin mevcut durumu, zaten Venomlnk, Terraloader ve Treatrrypt gibi araçları içeren altın tavuk ekosisteminde devam eden olgunlaşmaya işaret ediyor.
İşbirliği grupları yoluyla küresel olarak 1,5 milyar doları aşan zararlara neden olma geçmişleri bu tehdidin aciliyetini arttırıyor.
Terrasealerv2’nin Abe korumaları etrafındaki sınırlamaları geçici bir reprieve sunarken, kalıcı dağıtım yöntemleri ve Terralogger’ın daha geniş kampanyalara potansiyel entegrasyonu yaklaşan tehlikeleri işaret ediyor.
Kuruluşlar, kötü amaçlı dosya yürütmelerini tespit etmeye ve Wetransfers gibi alanlara olağandışı ağ trafiğini izlemeye odaklanarak sağlam azaltma stratejilerine öncelik vermelidir.[.]IO, bu gelişen siber tehditlere karşı korunmak.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!