Siber güvenlik araştırmacıları, su laneti olarak bilinen ve çok aşamalı kötü amaçlı yazılım sunmak için silahlı GitHub depolarına dayanan daha önce bilinmeyen bir tehdit aktörünü ortaya çıkardılar.
Trend Micro araştırmacıları Jovit Samaniego, Aira Marcelo, Mohamed Fahmy ve Gabriel Nicoleta, bu hafta yayınlanan bir analizde, “Kötü amaçlı yazılım veri eklemesini (kimlik bilgileri, tarayıcı verileri ve oturum jetonları dahil), uzaktan erişim ve enfekte sistemlerde uzun vadeli kalıcılık sağlar.” Dedi.
İlk olarak geçen ay görülen “geniş ve sürekli” kampanya, görünüşte zararsız penetrasyon testi yardımcı programları sunan depolar kurdu, ancak Visual Studio Proje Yapılandırma dosyalarında SMTP E-posta Bombacı ve Sakura-Rat gibi kötü niyetli yükler.
Water Curse’un Arsenal’i, tedarik zincirini “kırmızı ekip takımları ve aktif kötü amaçlı yazılım dağıtımı arasındaki çizgiyi bulanıklaştıran geliştirici odaklı bilgi çalanlar” ile hedeflemek için çapraz fonksiyonel geliştirme yeteneklerinin altını çizen çok çeşitli araçlar ve programlama dilleri içerir.
Araştırmacılar, “Yürütme üzerine, kötü niyetli yükler, Visual Basic Script (VBS) ve PowerShell’de yazılmış gizlenmiş komut dosyalarını kullanan karmaşık çok aşamalı enfeksiyon zincirlerini başlattı.” Dedi. “Bu komut dosyaları şifreli arşivleri indirdi, çıkarılan elektron tabanlı uygulamalar ve kapsamlı sistem keşifleri gerçekleştirdi.”
Saldırılar aynı zamanda etkilenen konakçılarda uzun vadeli bir dayanak korumak için anti-tahmging tekniklerinin kullanımı, ayrıcalık yükseltme yöntemleri ve kalıcılık mekanizmaları ile karakterize edilir. Ayrıca, ev sahibi savunmalarını zayıflatmak ve sistem kurtarmayı engellemek için PowerShell komut dosyaları da kullanılır.
Su laneti, kimlik bilgisi hırsızlığı, oturum kaçırma ve yasadışı erişimin yeniden satışından kaynaklanan finansal olarak motive olmuş bir tehdit aktörü olarak tanımlanmıştır. Kampanyaya 76 Github hesabı bağlantılıdır. İlgili faaliyetlerin Mart 2023’e kadar devam ettiğini öne süren kanıtlar var.
Su lanetinin ortaya çıkması, tehdit aktörlerinin GitHub gibi meşru platformlarla ilişkili güveni kötü amaçlı yazılım ve evre yazılım tedarik zinciri saldırıları için nasıl kötüye kullandığına dair en son örnektir.
Trend Micro, “Depoları, kötü amaçlı yazılım, kaçırma yardımcı programları, oyun hileleri, AIMBOT’lar, kripto para birimi cüzdan araçları, OSINT sıyırıcıları, spam botları ve kimlik bilgisi stealer’ları içeriyor.” Dedi. Diyerek şöyle devam etti: “Bu, siber suçları fırsatçı para kazanma ile harmanlayan çok yönlü bir hedefleme stratejisini yansıtıyor.”
“Altyapı ve davranışları, telgraf ve halka açık dosya paylaşım hizmetleri aracılığıyla aktif pessiltrasyon ile gizli, otomasyon ve ölçeklenebilirliğe odaklanıyor.”
Açıklama, Asyncrat, DeerStealer (Highack Loader adlı bir yükleyici aracılığıyla), Filch Stealer, LightperlGirl ve Sectoprat (ayrıca Highack Loader aracılığıyla) gibi çeşitli kötü amaçlı yazılım ailelerini dağıtmak için yaygın ClickFix stratejisini kullanan birden fazla kampanya gözlemlenir.
Asyncrat, tanımlanamayan tehdit aktörleri tarafından 2024’ün başından beri birden fazla sektörü kapsayan binlerce kuruluşu hedeflemek için kullanıma sunulan birçok uzaktan erişim truva atlarından (sıçanlar) biridir. Kampanyanın bazı yönleri Ağustos 2024 ve Ocak 2025’te Forcepoint tarafından belgelenmiştir.
Halcyon, “Bu Tradecraft, kötü amaçlı yazılımların, özellikle Cloudflare’nin geçici tünellerini görünüşte meşru altyapıdan yükler sunmak için kullanarak geleneksel çevre savunmalarını atlamasına izin veriyor.” Dedi. “Bu tüneller saldırganlara çevre kontrollerine güvenilir görünen geçici ve kayıt dışı alt alanlar sağlayarak ön blok veya kara listenin zorlaşmasını zorlaştırıyor.”
“Altyapı meşru hizmetler yoluyla dinamik olarak yükseltildiğinden, savunucular kötü niyetli kullanımı yetkili devOps veya BT bakım iş akışlarından ayırt etmede zorluklarla karşı karşıyadır. Bu taktik, tehdit aktörlerinin tehlikeye atılmış sunuculara veya kurşun geçirmez barındırmaya güvenmeden, kampanyanın hem ölçeğini hem de korsanlığını artırmasını sağlar.”
Bulgular ayrıca, İspanya, Portekiz, İtalya, Fransa, Belçika’da bulunan çeşitli Avrupa örgütlerini hedefleyen devam eden bir kötü niyetli kampanyanın keşfini takip ediyor.
Kötü amaçlı yazılımları dağıtan önceki kampanyalar, bazıları kötü amaçlı yükleri gizlemek için HTML kaçakçılık tekniklerinden yararlanan gelir vergisi beyannamesi tuzaklarını kullanarak muhasebe ve vergi profesyonellerini seçti.
Orange CyberDefense tarafından detaylandırılan saldırı zinciri, alıcıları doğrudan bulut depolama hizmetinde barındırılan bir PDF dosyasına işaret eden bir onedrive bağlantısı içeren PDF eklerini açmayı amaçlayan benzer kimlik avı e -postaları kullanıcıyı “Belgeyi aç” düğmesini tıklamasını istemektedir.
Bunu yapmak, kurbanı, gelen talebi değerlendirmek ve enfeksiyonun bir sonraki aşamasına daha ileriye gitmeleri gerekip gerekmediğini belirlemek için bir trafik dağıtım sistemi (TDS) görevi gören kötü niyetli bir web sunucusuna yönlendirir. Mağdurun makinesi gerekli kriterleri karşılıyorsa, bir jar dosyası, Sorillus sıçanını bırakmak ve yürütmek için gizli bir şekilde indirilirken iyi huylu bir PDF görüntülenir.
2019’da ilk kez ortaya çıkan Java tabanlı bir sıçan olan Sorillus, hassas bilgileri hasat edebilen/yükleyebilen, ekran görüntüleri alabilen, sesini kaydettirebilen, günlük tuş vuruşlarını kaydedebilen, keyfi komutlar çalıştıran ve hatta kaldırabilen platformlar arası bir kötü amaçlı yazılımdır. Ayrıca, Truva’nın çok sayıda raflı versiyonunun çevrimiçi olarak mevcut olmasına yardımcı olmaz.
Saldırılar, Sambaspy’yi İtalya’daki kullanıcılara teslim ettiği gözlemlenen daha geniş bir kampanyanın parçası olarak değerlendiriliyor. Sambaspy, Portakal CyberDefense başına Sorillus kötü amaçlı yazılım ailesine aittir.
Siber güvenlik şirketi, “Operasyon, tespitten kaçınmak için OneDrive, Mediafire ve Ngrok ve Localtonet gibi tünel platformları gibi meşru hizmetlerin stratejik bir karışımını sergiliyor.” Dedi. Diyerek şöyle devam etti: “Brezilya Portekizlilerin yüklerde tekrar tekrar kullanılması, Brezilyalı konuşan tehdit aktörlerine olası bir ilişkilendirmeyi destekliyor.”