Siber güvenlik araştırmacıları, arkasındaki tehdit aktörünün gerçek dünyadaki kimliğini keşfetti Altın Tavuklar çevrimiçi kişi “badbullzvenom” ile giden bir hizmet olarak kötü amaçlı yazılım.
eSentire’nin Tehdit Müdahale Birimi (TRU), 16 aylık bir soruşturmanın ardından yayınlanan kapsamlı bir raporda, “badbullzvenom hesabının iki kişi arasında paylaşıldığına dair çok sayıda söz bulduğunu” söyledi.
Frapstar olarak bilinen ikinci tehdit aktörünün, siber güvenlik firmasının suçlu aktörün dijital ayak izini bir araya getirmesine olanak tanıyarak kendilerini “Montreal’den Chuck” olarak tanımladığı söyleniyor.
Bu, gerçek adını, resimlerini, ev adresini, ebeveynlerinin, kardeşlerinin ve arkadaşlarının adlarını, sosyal medya hesaplarını ve ilgi alanlarını içerir. Ayrıca kendi evinden yönetilen küçük bir işletmenin tek sahibi olduğu da söyleniyor.
Venom Spider olarak da bilinen Golden Chickens, kötü amaçlı belgeler oluşturmak için yazılım olan Taurus Builder gibi çeşitli araçlarla bağlantılı bir hizmet olarak kötü amaçlı yazılım (MaaS) sağlayıcısıdır; ve ek yükler sunmak için kullanılan bir JavaScript indiricisi olan More_eggs.
Tehdit aktörünün siber cephaneliği, Cobalt Group (namı diğer Cobalt Gang), Evilnum ve FIN6 gibi diğer önde gelen siber suç grupları tarafından kullanılmaya başlandı ve bunların hepsinin toplu olarak toplam 1,5 milyar dolarlık kayba neden olduğu tahmin ediliyor.
Bazıları 2017’ye dayanan geçmiş More_eggs kampanyaları, tehdit aktörlerine kurbanın makinesi üzerinde uzaktan kontrol sağlayan, bilgi toplamak veya daha fazla kötü amaçlı yazılım dağıtmak için yararlanan sahte iş teklifleriyle LinkedIn’deki hedef odaklı kimlik avı iş profesyonellerini içeriyordu.
Geçen yıl, bir nevi tersine dönerek, aynı taktikler, bir enfeksiyon vektörü olarak kötü amaçlı yazılımlarla dolu özgeçmişleri olan kurumsal işe alım yöneticilerini vurmak için kullanıldı.
Frapster’ın etkinliğine ilişkin en eski belgelenmiş kayıt, Trend Micro’nun kişiyi “yalnız bir suçlu” ve lüks bir araba tutkunu olarak tanımladığı Mayıs 2015’e kadar uzanıyor.
eSentire araştırmacıları Joe Stewart ve Keegan Keplinger, “Yeraltı forumu, sosyal medya ve Jabber hesapları için birden çok takma ad kullanan ‘Chuck’ ve Moldovalı olduğunu iddia eden tehdit aktörü, kendilerini gizlemek için büyük çaba sarf etti.” dedi.
“Ayrıca Golden Chickens kötü amaçlı yazılımını gizlemek, onu çoğu AV şirketi tarafından algılanamaz hale getirmek ve müşterileri Golden Chickens’ı YALNIZCA hedefli saldırılar için kullanmakla sınırlamak için büyük çaba sarf ettiler.”
eSentire, Chuck’ın Exploit.in yeraltı forumunda badbullzvenom hesabını işleten iki tehdit aktöründen biri olduğundan şüphelenildiğini ve diğer tarafın muhtemelen Moldova veya Romanya’da bulunduğunu belirtti.
Kanadalı siber güvenlik şirketi, e-ticaret şirketlerini hedef alan yeni bir saldırı kampanyasını daha da ortaya çıkardığını ve işe alım uzmanlarını özgeçmiş gibi görünen bir web sitesinden hileli bir Windows kısayol dosyası indirmeleri için kandırdığını söyledi.
VenomLNK adlı bir kötü amaçlı yazılım olan kısayol, More_eggs veya TerraLoader’ı bırakmak için bir ilk erişim vektörü görevi görür; bu da daha sonra TerraRecon (kurban profili oluşturma için), TerraStealer (bilgi hırsızlığı için) ve TerraCrypt (kurban profili için) gibi farklı modülleri dağıtmak için bir kanal görevi görür. fidye yazılımı gaspı).
Araştırmacılar, kuruluşları potansiyel kimlik avı girişimlerine karşı tetikte olmaya çağırarak, “Kötü amaçlı yazılım paketi hala aktif olarak geliştiriliyor ve diğer tehdit aktörlerine satılıyor ve satılıyor.”