Vietnam DarkGate Kötü Amaçlı Yazılımı İngiltere, ABD ve Hindistan’daki META Hesaplarını Hedefliyor


WithSecure’daki siber güvenlik araştırmacıları, Vietnamlı DuckTail bilgi hırsızı ile DarkGate kötü amaçlı yazılımı arasında bir bağlantı tespit etti.

ÖNEMLİ BULGULAR

  • WithSecure siber güvenlik firmasının raporuna göre, Vietnamlı siber suç grupları çeşitli MaaS bilgi hırsızları ve RAT’larla aktif olarak Birleşik Krallık, ABD ve Hindistan’daki kuruluşları hedef alıyor.
  • Son DarkGate kötü amaçlı yazılım saldırıları ile Meta işletme hesaplarını ele geçirmek için bir kampanya yürüten grup arasında bir bağlantı olduğu fark edildi çünkü her iki saldırı da aynı altyapıyı kullanıyor.

Eski adıyla F-Secure Business olan siber güvenlik firması WithSecure, müşterilerini hedef alan son DarkGate kötü amaçlı yazılım saldırıları ile Meta işletme hesaplarını ele geçirmek ve hassas verileri çalmak için bir kampanya yürüten Vietnam merkezli tehdit aktörleri arasındaki bağlantıyı ortaya çıkardı.

WithSecure’un Tespit ve Yanıt Ekibine (DRT) göre, 4 Ağustos 2023’te Birleşik Krallık, ABD ve Hindistan’daki müşterilerinin kuruluşlarına karşı DarkGate kötü amaçlı yazılımıyla birden fazla virüs bulaştırma girişiminde bulunuldu.

Yem belgeleri, hedef kalıpları, temalar, dağıtım yöntemleri ve genel saldırı taktikleri, yakın zamanda gerçekleşen DuckTail bilgi hırsızlığı kampanyalarında gözlemlenen saldırı mekanizmasına çok benziyor. WithSecure bu bilgi hırsızını bir yılı aşkın süredir takip ediyor.

DarkGate, siber uzayda ilk kez 2018 yılında ortaya çıkan bir Uzaktan Erişim Truva Atı’dır (RAT). Genellikle siber suçlulara Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) aracı olarak sunulur. Cryptojacking, bilgi hırsızlığı ve fidye yazılımı saldırıları gibi çeşitli kötü amaçlı faaliyetlerde kullanılan çok yönlü bir kötü amaçlı yazılımdır.

WithSecure araştırmacıları, DarkGate kötü amaçlı yazılım kampanyasıyla bağlantılı açık kaynaklı verileri analiz etti ve birden fazla bilgi hırsızıyla bağlantı kurdu. Bu model, bu saldırıları aynı grubun veya tehdit aktörünün başlattığını gösterir.

“DarkGate kötü amaçlı yazılım tuzaklarının ve kampanyalarının özelliklerini tanımlayarak, diğer bilgi hırsızlarının ve kötü amaçlı yazılımların aynı olmasa da çok benzer kampanyalarda kullanılmasına yol açan birden fazla pivot noktası bulmayı başardık ve aynı tehdit aktör grubunun büyük olasılıkla aynı olduğu değerlendiriliyor. bu kampanyaları gerçekleştiriyor” WithSecure’un raporunu okuyun.

Saldırı, ‘Maaş ve yeni ürünler.8.4.zip’ isimli dosyayla başladı. Farkında olmayan kullanıcılar onu indirip çıkardığında, bir VBS betiği etkinleştirildi. Bu komut dosyası, orijinal Windows ikili dosyasını (Curl.exe) yeniden adlandırdı ve yeni bir konuma kopyaladı ve iki ek dosyayı almak için harici bir sunucuya bağlandı: autoit3.exe ve derlenmiş bir Autoit3 komut dosyası. Daha sonra, komut dosyası yürütülebilir dosyayı yürüttü, kod karışıklığını giderdi ve kod içindeki dizeleri kullanarak DarkGate RAT’ı birleştirdi.

WithSecure, şirketin iki kampanya arasında bağlantı kurmasına yardımcı olan güçlü tanımlayıcılar buldu. Ayrıca saldırganların Ducktail, Redline Stealer ve Lobshot gibi birçok farklı kötü amaçlı yazılım ve bilgi hırsızlığı kullandığını da belirttiler.

WithSecure™ Kıdemli Tehdit İstihbaratı Analisti Stephen Robinson bir blog yazısında şunları söyledi: “Gözlemlediklerimize göre, takip ettiğimiz ve Meta Business hesaplarını hedef alan birçok kampanyanın arkasında tek bir aktörün olması çok muhtemeldir.”

Bir hesabın kontrolünü ele geçirdikten sonra, kötü amaçlı yazılım dağıtmak ve dolandırıcılık yapmak da dahil olmak üzere çeşitli kötü amaçlı faaliyetler gerçekleştirebilirler. Kampanyalarda kullanılan tuzaklar ve kötü amaçlı belgeler, aşağıdakiler de dahil olmak üzere benzer tanımlanabilir meta verilere sahiptir:

  • LNK Sürücü Kimliği
  • MSI dosyası meta verileri
  • Canva PDF tasarım hizmeti hesap ayrıntıları

Bu ayırt edici pazarlar, araştırmacıların farklı kampanyaları tek bir aktöre bağlamasına yardımcı olan dijital parmak izleridir. Bununla birlikte, birçok başka grup da aynı kötü amaçlı yazılımı kullanıyor olabilir; bu da, kötü amaçlı yazılım tabanlı analize güvenmek yerine derinlere inme ve saldırı modellerinde benzerlikler bulma ihtiyacını vurguluyor.

WithSecure™ Kıdemli Tehdit İstihbaratı Analisti Stephen Robinson, “DarkGate uzun süredir ortalıkta dolaşıyor ve yalnızca Vietnam’daki bu grup veya küme için değil, pek çok grup tarafından farklı amaçlarla kullanılıyor” diye açıklıyor.

Kuruluşlar uyanık kalmalı ve DarkGate ve diğer kötü amaçlı yazılım tehditlerini önlemek için sıkı siber güvenlik mekanizmaları kullanmalıdır. Güncel antivirüs çözümlerinin sağlanması, çalışanların en iyi siber güvenlik uygulamaları konusunda eğitilmesi, MFA (çok faktörlü kimlik doğrulama) tarafından desteklenen güçlü parolalar kullanılması ve ağ etkinliğinin şüpheli davranışlara karşı izlenmesi çok önemlidir.

  1. Formbook En Yaygın Kötü Amaçlı Yazılım Unvanını Aldı
  2. Yeni Magecart Saldırısı Kart Verilerinizi Çalmak İçin 404 Hatasını Kullanıyor
  3. Yeni Windows Infostealer ‘ExelaStealer’ Dark Web’de Satılıyor
  4. Windows Cihazlarını Hedefleyen Yeni Ortaya Çıkan ThirdEye Bilgi Hırsızı
  5. Sahte Bitwarden Şifre Yöneticisi Web Sitesi Windows ZenRAT’ı Bırakıyor





Source link