Yalnız Yok Grubu’ndan gelen tehdit aktörleri, Pure Logs Stealer ve Lone None Stealer (PXA Stealer olarak da bilinir) olarak adlandırılan yeni tanımlanmış bir bilgi stealer dahil olmak üzere sofistike kötü amaçlı yazılımları dağıtmak için telif hakkı yayından kaldırma bildirimlerini kullanıyor.
Bu analiz, kampanyanın taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) inceler, uzlaşma (IOCS) temel göstergelerini vurgular ve hiçbirinin saldırı zincirini yenilemeye nasıl devam ettiğini vurgular.
Kampanya, dünya çapında meşru yasal firmalardan geldiğini iddia eden sahtekâr yayından kaldırma talepleriyle başlıyor.
E -postalar, hileli iddialarına rağmen güvenilirlik ekleyerek hedef tarafından işletilen gerçek Facebook hesaplarına başvuruyor.
Cofense Intelligence, Kasım 2024’ten bu yana bu kampanyayı izledi, birden fazla yinelemede evrimini ve gizlenmiş python montajcılarının, telgraf botlarının ve makineyle ilişkili e-posta şablonlarının yeni kullanımını not etti.
Şablonlar en az on dilde (İngilizce, Fransızca, Almanca, Koreli, Çince, Tayland ve daha fazlası) AI çeviri veya makine-translasyon hizmetleri yoluyla çok üretilen.
Bu e -postaların içine gömülü bağlantılar kısaltılmıştır (TR kullanılarak[.]EE ve Goo[.]Su) Dropbox veya Mediafire gibi hizmetlerde barındırılan arşivlere yönlendiren.
İndirildikten sonra, alıcılar, eşleşmeyen dosya uzatma yüklerinin yanı sıra yeniden tasarlanmış meşru uygulamaları (genellikle Haihaisoft PDF okuyucu) içeren bir arşiv çıkarırlar.
Bir yükleyici olarak maskelenen kötü niyetli bir DLL, kılık değiştirmiş bir “document.pdf” yi “fatura.pdf” içine kodlamak için Windows ‘certutil.exe kullanır, ardından yükleri C: \ User \ public’e çıkarmak için paketlenmiş bir Winrar yürütülebilir (imgeler.png olarak gizlenir) çağırır.
Son olarak, yeniden adlandırılan bir Python tercümanı (svchost.exe), C: \ Users \ public \ Windows’a yüklenir ve bir kayıt defteri anahtarı aracılığıyla kalıcılık oluşturmak için gömülü bir komut dosyası (images.png) yürütür.
Bu aşamalı yaklaşım, meşru süreçler içinde kötü niyetli kodları maskeler ve sezgisel ve kum havuzu tespitinden kaçınmak için yerleşik yardımcı programlardan yararlanır.
Kripto para birimi pano korsan
Bu kampanyanın göze çarpan bir özelliği, kripto para birimi işlemlerini ele geçirmek için tasarlanmış bir bilgi çalma olan Lone None Stealer.
Stealer, kripto para birimi adres formatlarını eşleştiren desenler için Windows panosunun izini izler. Bir kurban bir cüzdan adresini (Bitcoin, Ethereum, Ripple, Solana ve daha fazlası) kopyaladığında, kötü amaçlı yazılım, Bitcoin için 1DPGUUHOPHW6RVPZZKJBA3D8Z9NTCQM1L gibi bir saldırgan kontrollü adresle değiştirir.
Değiştirildikten sonra, kötü amaçlı yazılım, tehlikeye atılan ana bilgisayar adını ve hem orijinal hem de değiştirilen adresleri bildiren bir telgraf botu C2’ye bir özet mesaj gönderir.
Bu bot tabanlı C2 mekanizması yenidir: İlk yük URL’si, HTTPS aracılığıyla alınabilen bir telgraf bot profilinin biyografisinde saklanır.
Komut dosyası daha sonra bir macundan ek yükler indirir[.]RS Link (örneğin, yapıştır[.]RS/RWQFD) ve 0x0 arasındaki diğer modüller[.]ST. Yüklerde, temel işlevselliği değiştirmek yerine otomatik sanal alan analizini önlemek için birden çok gizleme katmanına (Basase64 veya Base85 metin kodlaması ve AES şifrelemesi) bulunur.
Haziran 2025’ten bu yana, Lone None Stealer, saf günlük stealer içeren aktif tehdit raporlarının% 29’unda ortaya çıktı ve aktörün operasyonel yeteneklerinde önemli bir evrim olarak işaretledi.
Savunma düşünceleri
Kampanyanın ilk örnekleri, benzer yasal temalı lures yoluyla gerçekleştirilen daha basit yükler (xworm faresi, ördek kuyruğu stealer ve özel PY tabanlı stealer) dağıttı.
ATR 378532, saf günlükler stealer ve Xworm sıçanını düşürmek için ilkel bir Python yükleyicisi kullanırken, ATR 377263, Lone None Stealer’ın erken varyantlarının yanında ördek kuyruğu tanıttı.
Zamanla grup, sıçanları modüler, python tabanlı yükleyiciler lehine aşamalı olarak kaldırdı ve muhtemelen son saf günlükler stealer varyantları uzaktan kumanda işlevselliğini (“purehvnc”) içerdiğinden bilgi hırsızlığına odaklandı.
Savunucular tutarlı e -posta cazibesi yapısına dikkat etmelidir: tüzel kişileri taklit eden ve gerçek sosyal medya hesaplarına atıfta bulunan özel telif hakkı ihlali bildirimleri.
Uç noktada göstergeler arasında alışılmadık certutil.exe kod çözme komutları, zararsız görüntüler olarak adlandırılan Winrar yürütülebilir ürünler, kullanıcı ile tasarlanmış dizinlerde svchost.exe olarak maskeleyen python tercümanları ve kalıcılık için kayıt defteri girişleri bulunur.
Ağ savunucuları, telgraf bot API’lerine ve dosya paylaşım alanlarına giden bağlantıları izlemeli ve yapıştırmalı[.]Rs ve 0x0[.]ST Getiriyor.
Sosyal mühendisliği meşru araçlarla ve yenilikçi C2 kanallarıyla birleştirerek, Lone None, e -posta lürelerinin etkili kalması için minimum değişikliklere ihtiyaç duyduğunu gösterirken, yük karmaşıklığı giderek artar.
Güvenlik ekipleri, istenmeyen yayından kaldırma bildirimleri konusundaki kullanıcı farkındalığını güçlendirmeli ve bu gelişen tehdidi bozmak için uygulama beyaz listeleme, komut satırı izleme ve ağ çıkış filtreleme uygulamalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.