Arctic Wolf Labs ekibi, Tehdit Grubu UAC-0226 tarafından kullanılan, Üstün Edebilirlik Infostealer’ın yeteneklerinde dramatik bir dönüşümü ortaya çıkardı.
Başlangıçta 2025’in başlarında temel bir tarayıcı veri çalıcı olarak tanımlanan bu kötü amaçlı yazılım, Haziran 2025’e kadar sofistike bir istihbarat toplama aracına dönüşerek 1.2 ve 1.3 sürümleri aracılığıyla hızlı bir evrim geçirmiştir.
Bu ilerleme, İstanbul’daki Ukrayna barış müzakereleri gibi kritik jeopolitik olaylarla uyumlu olarak Ukrayna hükümet ve askeri kuruluşlardan gelen hassas verileri hedeflemek için kasıtlı bir stratejiyi yansıtmaktadır.
.png
)
Bir siber-tetikleme silahının evrimi
Kötü amaçlı yazılımların, çok çeşitli tescilli belgeleri ve tarayıcı sırlarını genişletme yeteneği, muhtemelen diplomatik ve askeri anlamlılık dönemlerinde gizli istihbarat hedeflerini desteklemeyi amaçlayan kapsamlı veri toplamaya geçişin altını çizmektedir.
Teknik karmaşıklıklara giren GiftedCrook’un ilk versiyonu (V1), yalnızca tarayıcı kimlik bilgilerini çıkarmaya odaklanmıştır ve veri söndürme açıkça görünür telgraf bot kanalları aracılığıyla kolaylaştırılmıştır.
Sürüm 1.2’ye göre, 2 Haziran 2025, İstanbul anlaşma tartışmaları civarında tanıtılan kötü amaçlı yazılımlar, özel bir XOR algoritması yoluyla dize şifrelemesi kullanılarak ve çalınan verileri şanzımandan önce şifreli zip arşivlerine sıkıştırarak genişletti.
Sürüm 1.3 bu yaklaşımı daha da rafine etti, hem tarayıcı sırlarını hem de son 45 gün içinde v1.2’de değiştirilen dosyaları çalmak için yetenekleri entegre ederken, V1.2’de 15 günden 7 MB’a kadar dosya boyutu sınırını artırdı.
Stratejik dağıtım
Saldırı vektörü öncelikle askeri temalı PDF yemleri olan mızrak aktı e-postalarına, genellikle Ukrayna’da Uzhhorod gibi sahtekarlık yerlerini ve Bakhmut’taki yetkililer gibi tuzak alıcılarının arkasındaki gerçek hedefleri gizliyor.
Bu kimlik avı kampanyaları, sosyal mühendislik taktiklerini kullanıyor, askeri seferberlik ve idari para cezaları temalarını aciliyet aşılamak için kullanıyor ve kurbanları sonuçta kötü amaçlı yazılım yükünü dağıtan kötü niyetli OLE belgelerindeki makroları mümkün kılıyor.
%20extraction%20from%20OLE%20file.webp)
Netsupport sıçanını dağıtanlar da dahil olmak üzere diğer kampanyalarla e-posta altyapısında dikkate değer bir örtüşme, Ukrayna’yı hedefleyen çeşitli tehdit grupları tarafından kalıcılık ve gizli veri hırsızlığına odaklanan koordineli, çok yönlü bir çaba önermektedir.
Bu saldırıların stratejik zamanlaması, Ukrayna’nın genişletilmiş sıkıyönetim ve yoğunlaştırılmış işe alım çabalarına çakışan etkilerini artırıyor.
GiftedCrook’un OpenVPN konfigürasyonlarını ve idari belgeleri hasat etme yeteneği, tehdit aktörlerine kritik ağ erişim bilgileri ve organizasyonel zeka ile gelecekteki operasyonların yolunu açar.
Arctic Wolf Labs, güvenli e -posta ağ geçitleri, uç nokta tespiti ve yanıt (EDR) çözümleri ve bu tür tehditleri azaltmak için kimlik avı bilinci konusunda kapsamlı çalışan eğitimi gibi güçlü savunmalar önermektedir.
Üstün yetenekli crook adapte olmaya devam ettikçe, jeopolitik hedeflere uyum, hedeflenen bölgeler için devam eden ve gelişen bir siber riske işaret eder.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge (SHA-256 / URL / Yol) |
|---|---|
| Ölümcül V1.2 Telegram IOC | A6DD44C4B7A9785525E7F487C06495DC5F3322DAD8252D8637F6A6DEF3013 |
| Ölümcül V1.3 Telegram IOC | B9d50d12d2b758091fb596fa8b4b4a1c63b7b8c11e08a1058d49673f93147d |
| PDF dosyası (kötü niyetli bağlantı) | 197470f9af31380f055f86040ef90c71c68cb2e14825509babf902b50a1a4b |
| Telegram Bot Token V1.2 | Hxxps: // API[.]telgraf[.]org/bot780638607: aafb6nce21n6ymk6-bja6ircltlfhlwq254/sendDocument |
| Telegram Bot Token V1.3 | Hxxps: // API[.]telgraf[.]org/bot7726014631: aafe9jhcmssz2bl7ck35pp30twn6gc3nzg8/sendDocument |
| Kurulum yolu | %ProgramData%\ Infomaster \ Infomaster |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin