Sainbox RAT, Purple Fox gibi çeşitli kötü amaçlı yazılım ailelerini ve ValleyRAT adlı yeni bir truva atını dağıtmayı amaçlayan çok sayıda e-posta kimlik avı kampanyasının bir parçası olarak Çince konuşan kişiler giderek daha fazla hedefleniyor.
Kurumsal güvenlik firması Proofpoint, The Hacker News ile paylaştığı bir raporda, “Kampanyalar, Çin dilindeki tuzakları ve genellikle Çin’deki siber suç faaliyetleriyle ilişkilendirilen kötü amaçlı yazılımları içeriyor” dedi.
2023’ün başlarından bu yana gözlemlenen etkinlik, kötü amaçlı yazılımın yüklenmesinden sorumlu sıkıştırılmış yürütülebilir dosyalara işaret eden URL’ler içeren e-posta mesajları göndermeyi gerektiriyor. Diğer enfeksiyon zincirlerinin, kötü amaçlı etkinlikleri tetiklemek için bu URL’leri yerleştiren Microsoft Excel ve PDF eklerinden yararlandığı bulunmuştur.
Bu kampanyalar altyapı, gönderen etki alanları, e-posta içeriği, hedefleme ve yük kullanımında farklılıklar gösteriyor ve bu da saldırıları farklı tehdit kümelerinin düzenlediğini gösteriyor.
2023 yılında, genellikle Çin’deki siber suç faaliyetleriyle ilişkilendirilen kötü amaçlı yazılımların kullanıldığı bu tür 30’dan fazla kampanya tespit edildi. Nisan 2023’ten bu yana, bu kampanyalardan en az 20’sinin, FatalRAT olarak da bilinen Gh0st RAT truva atının bir çeşidi olan Sainbox’ı dağıttığı söyleniyor.
Proofpoint, Purple Fox kötü amaçlı yazılımını dağıtan en az üç başka kampanya ve ValleyRAT adlı yeni ortaya çıkan bir kötü amaçlı yazılım türünü yayan altı ek kampanya daha tespit ettiğini söyledi; bunlardan sonuncusu 21 Mart 2023’te başladı.
İlk olarak Çinli siber güvenlik firması Qi An Xin tarafından Şubat 2023’te belgelenen ValleyRAT, C++ dilinde yazılmıştır ve uzak bir sunucudan gönderilen ek yükleri (DLL’ler ve ikili dosyalar) alıp yürütmek ve çalışan süreçleri numaralandırmak gibi geleneksel olarak uzaktan erişim truva atlarında görülen işlevleri barındırır. , diğerleri arasında.
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Becerilerinizi Güçlendirin
Gh0st RAT, yıllar boyunca Çin’le bağlantılı çeşitli siber kampanyalarda yaygın olarak kullanılmış olsa da ValleyRAT’ın ortaya çıkışı, gelecekte geniş çapta kullanılabileceğini gösteriyor.
Şirket, “Çince kötü amaçlı yazılım faaliyetlerindeki artış, artan kullanılabilirlik veya yüklere ve hedef listelerine erişim kolaylığının yanı sıra Çince konuşan siber suç operatörlerinin potansiyel olarak artan faaliyetleri yoluyla Çin kötü amaçlı yazılım ekosisteminin genişlediğini gösteriyor” dedi.