FortiGuard Labs’daki siber güvenlik araştırmacıları kısa bir süre önce, güvenliği ihlal edilmiş sistemlerden çeşitli bilgileri çalmak için hazırlanmış, “ThirdEye” adlı görünmeyen bir bilgi hırsızı buldular.
Bu bilgi hırsızı tarafından toplanan çalınan veriler ve bilgiler gelecekteki siber saldırıları gerçekleştirmek için kullanılır.
.png
)
FortiGuard, ThirdEye’ın teknik olarak gelişmiş olmasa da güvenliği ihlal edilmiş sistemlerden aşağıdaki verileri topladığını açıkladı:-
- BIOS verileri
- Donanım verileri
- dosyaları tarar
- Klasörleri tarar
- Süreçleri algılar
- Ağ bilgilerini toplar
- Kullanıcının masaüstünün dosya listesi
- Etkilenen bilgisayarda kayıtlı kullanıcı adlarının listesi
- CPU çekirdeği sayısı ve RAM boyutu
ThirdEye Bilgi Hırsızı Kötü amaçlı yazılım
Güvenlik uzmanları, Rus isimli bir arşiv dosyasının bulunması üzerine soruşturma başlattı:-
- [Табель учета рабочего времени.zip]
Zip, aşağıdaki başlıklı bir belge kılığına girmiş bir yürütülebilir dosya da dahil olmak üzere çift uzantılı iki şüpheli dosya içerir: –
- [CMK Правила оформления больничных листов.pdf.exe]
ThirdEye, temel sistem verilerini toplayan nispeten basit bir bilgi hırsızıdır ve etkinleştirildiğinde, verileri hxxp://shlalala adresindeki C2 sunucusuna gönderir.[.]ru / genel / ch3ckState .
Bunun yanı sıra, diğer kötü amaçlı yazılımlarda yaygın olan ek işlevlerden ve özelliklerden yoksundur.
ThirdEye bilgi hırsızı, C2’ye ve başka bir karma değere kendini tanımlamak için benzersiz “3rd_eye” dizisinin şifresini çözer ve kullanır.
Bunun dışında “Табель учета рабочего времени.xls.exe”, arşivdeki üst dosyanın dosya adıyla tam olarak eşleşen ikinci dosyanın adıdır.
En erken varyant Nisan 2023’te tespit edildi ve numuneler analiz edildikten sonra, en eski varyantın son numunelere kıyasla daha az veri topladığı, ancak bilgi hırsızının o zamandan beri birkaç başka yetenekle birlikte geliştiği bulundu.
Üçüncü Göz Profili
- Etkilenen platformlar: Windows
- Etkilenen taraflar: Windows Kullanıcıları
- Etki: Toplanan bilgiler gelecekteki saldırılar için kullanılabilir
- Önem düzeyi: Orta
Şu anda, ThirdEye bilgi hırsızının saldırılarda kullanıldığına dair bir kanıt yok, ancak saldırıya uğramış makinelerden değerli veriler toplayarak hedef seçimine yardımcı oluyor.
Veri toplamak için hazırlanmış olsa da, tehdit aktörleri tarafından siber saldırılar başlatmak için değerli bir araç olarak hizmet edebilir.
Ayrıca, ThirdEye varyantlarının çoğu, Rusça konuşan kuruluşlar için potansiyel bir önceliği gösteren bir Rus dosya adına sahip olan en son varyantla birlikte, bir Rus kamu tarama hizmetine sunuldu.
IOC’ler
| IOC |
| 9db721fa9ea9cdec98f113b81429db29ea47fb981795694d88959d8a9f1042e6 |
| 5d211c47612b98426dd3c8eac092ac5ce0527bda09afa34b9d0f628109e0c796 |
| f6e6d44137cb5fcee20bcde0a162768dadbb84a09cc680732d9e23ccd2e79494 |
| 3d9aff07e4cb6c943aec7fcd2d845d21d0261f6f8ae1c94aee4abdf4eef5924d |
| 2008bdd98d3dcb6633357b8d641c97812df916300222fc815066978090fa078f |
| 847cbe9457b001faf3c09fde89ef95f9ca9e1f79c29091c4b5b08c5f5fe48337 |
| c36c4a09bccdeda263a33bc87a166dfbad78c86b0f953fcd57e8ca42752af2fc |
| 0a798b4e7bd4853ec9f0d3d84ad54a8d24170aa765db2591ed3a49e66323742c |
| a9d98b15c94bb310cdb61440fa2b11d0c7b4aa113702035156ce23f6b6c5eecf |
| 263600712137c1465e0f28e1603b3e8feb9368a37503fa1c9edaaaab245c63026 |
| 610aff11acce8398f2b35e3742cb46c6a168a781c23a816de2aca471492161b2 |
| hxxp://shlalala[.]ru / genel / ch3ckState |
| hxxp://ohmycars[.]ru / genel / ch3ckState |
| hxxp://anime-clab[.]ru/ch3ckState |
| hxxp://glovatickets[.]ru/ch3ckState |
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.