Siber güvenlik araştırmacıları, Rusya ve Belarus’taki varlıkları hedef alan siber saldırılarla bağlantılı olan Yapışkan Kurtadam olarak bilinen bir tehdit aktörünün ayrıntılarını açıkladı.
Morphisec geçen hafta yayınladığı bir raporda, kimlik avı saldırılarının bir ilaç şirketini, mikrobiyoloji ve aşı geliştirmeyle ilgilenen bir Rus araştırma enstitüsünü ve başlangıçtaki odak noktası olan devlet kurumlarının ötesine geçen havacılık sektörünü hedef aldığını söyledi.
Güvenlik araştırmacısı Arnold Osipov, “Önceki kampanyalarda enfeksiyon zinciri, gofile.io gibi platformlardan kötü amaçlı bir dosya indirmek için bir bağlantı içeren kimlik avı e-postalarıyla başlamıştı” dedi. “Bu son kampanya, WebDAV sunucularında depolanan bir veriye işaret eden LNK dosyalarını içeren arşiv dosyalarını kullandı.”
Cloud Werewolf (diğer adıyla Inception ve Cloud Atlas), Quartz Wolf, Red Wolf (diğer adıyla RedCurl) ve Pullu Kurt gibi Rusya ve Belarus’u hedef alan birçok tehdit aktöründen biri olan Yapışkan Kurtadam, ilk olarak Ekim 2023’te BI.ZONE tarafından belgelendi. Grubun en az Nisan 2023’ten beri aktif olduğuna inanılıyor.
Siber güvenlik firması tarafından belgelenen önceki saldırılarda, kötü amaçlı yüklere bağlantılar içeren kimlik avı e-postaları kullanıldı ve bu durum, bir kolluk kuvvetleri operasyonunun ardından altyapısı geçen yılın başında devre dışı bırakılan NetWire uzaktan erişim truva atının (RAT) konuşlandırılmasıyla sonuçlandı.
Morphisec tarafından gözlemlenen yeni saldırı zinciri, çıkarıldığında iki LNK dosyası ve bir sahte PDF belgesi içeren, ikincisinin bir video konferansa davet olduğunu iddia eden ve alıcıları bu belgeye tıklamaya teşvik eden bir RAR arşiv ekinin kullanımını içeriyor. Toplantı gündemini ve e-posta dağıtım listesini almak için LNK dosyalarını kullanın.
LNK dosyalarından herhangi birinin açılması, WebDAV sunucusunda barındırılan bir ikili dosyanın yürütülmesini tetikler ve bu da gizlenmiş bir Windows toplu komut dosyasının başlatılmasına yol açar. Komut dosyası, sonuçta son veriyi enjekte eden ve aynı zamanda güvenlik yazılımı ve analiz girişimlerini atlayan bir AutoIt komut dosyasını çalıştıracak şekilde tasarlanmıştır.
Osipov, “Bu yürütülebilir dosya, CypherIT adlı önceden bilinen bir şifreleyicinin parçası olan, kendi kendine açılan bir NSIS arşividir” dedi. “Orijinal CypherIT şifreleyici artık satılmasa da, birkaç bilgisayar korsanlığı forumunda gözlemlendiği gibi mevcut çalıştırılabilir dosya onun bir çeşididir.”
Kampanyanın nihai hedefi, ticari RAT’leri ve Rhadamanthys ve Ozone RAT gibi bilgi çalan kötü amaçlı yazılımları sunmaktır.
Osipov, “Yapışkan Kurtadam grubunun belirli bir ulusal kökenine işaret eden kesin bir kanıt olmasa da, jeopolitik bağlam, Ukrayna yanlısı bir siber casusluk grubu veya hacktivistlerle olası bağlantıları öne sürüyor, ancak bu atıf belirsizliğini koruyor” dedi.
Bu gelişme, BI.ZONE’un, popüler açık kaynaklı SapphireStealer’ın bir kolu olan Amethyst’i kullanarak Rus eğitim, üretim, BT, savunma ve havacılık ve uzay mühendisliği sektörlerine yönelik 300’den fazla saldırının arkasında olduğu atfedilen Sapphire Werewolf kod adlı bir faaliyet kümesini ortaya çıkarmasıyla gerçekleşti. .
Rus şirketi, Mart 2024’te ayrıca Remote Utilities, XMRig madenci, WarZone RAT ve RingSpy adı verilen özel bir arka kapı dağıtmak için hedef odaklı kimlik avı tuzakları kullanan Fluffy Wolf ve Mysterious Werewolf olarak adlandırılan kümeleri de ortaya çıkardı.
“RingSpy arka kapısı, bir saldırganın komutları uzaktan yürütmesine, sonuçlarını almasına ve ağ kaynaklarından dosya indirmesine olanak tanır” dedi. “Arka kapı [command-and-control] Sunucu bir Telegram botudur.”