Talos İstihbaratı, tehdit aktörü SneakyChef’e atfedilen karmaşık bir siber saldırıyı ortaya çıkardı. Bu operasyon, dünya çapındaki devlet kurumlarını, araştırma kurumlarını ve çeşitli kuruluşları hedeflemek için SugarGh0st RAT ve diğer kötü amaçlı yazılımlardan yararlanıyor.
Kampanya Ağustos 2023’ün başlarında başladı ve başlangıçta Özbekistan ve Güney Kore’deki kullanıcıları hedef aldı. Ancak o zamandan bu yana aşağıdakiler de dahil olmak üzere daha geniş bir coğrafi alandaki hedefleri kapsayacak şekilde genişledi:
- EMEA: Angola, Türkmenistan, Kazakistan, Hindistan, Suudi Arabistan ve Letonya
- Asya: Hindistan, Özbekistan ve Kazakistan
- Avrupa: Letonya ve Litvanya
Saldırganlar, devlet kurumlarını ve araştırma kurumlarını taklit etmek ve kurbanları cezbetmek için sahte belgeler kullanıyor. Bu belgeler şunları içerir:
- Hükümet temalı yemler: Çeşitli bakanlık ve elçiliklerden genelge, rapor ve duyurular
- Araştırma konferansı temalı yemler: Özetler, başvuru formları ve konferans davetiyeleri
Kötü Amaçlı Yazılım ve Enfeksiyon Zinciri
İki enfeksiyon zinciri, büyük ihtimalle LNK dosyası aracılığıyla gönderilen kötü amaçlı bir RAR kullandı. Kimlik avı e-postası.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Talos raporuna göre kampanyada SugarGh0st RAT ve “SpiceRAT” adlı başka bir RAT kullanılıyor. Bulaşma zinciri, ilk saldırı vektörü olarak SFX RAR dosyalarını kullanıyor.
Bu dosyalar yürütüldüğünde, kurbanın geçici kullanıcı profili klasörüne bir sahte belge, bir DLL yükleyici, şifrelenmiş SugarGh0st ve kötü amaçlı bir VB komut dosyası bırakıyor.
VB betiği, kullanıcı sistemde oturum açtığında yürütülen UserInitMprLogonScript kayıt defteri anahtarına bir komut yazarak kalıcılık sağlar.
Yükleyici DLL, şifrelenmiş SugarGh0st RAT’ı okur, şifresini çözer ve onu bir işleme enjekte eder. Bu teknik, Kazakistan hükümeti tarafından Şubat ayında açıklanan önceki SugarGh0st kampanyasında kullanılan teknikle benzer.
Kasım 2023’teki ilk açıklamaya rağmen SneakyChef tehdit aktörü eski ve yeni komuta ve kontrol (C2) alanlarından yararlanmaya devam ediyor.
C2 etki alanı hesabı[.]Drive-google-com[.]tk Mayıs ortasına kadar hala aktifti ve yeni bir alan adı olan hesap[.]gommask[.]çevrimiçi, Mart 2024’te oluşturuldu.
Bu tehdide ilişkin Uzlaşma Göstergelerini burada bulabilirsiniz.
Azaltma ve Müdahale
Bu kampanyanın keşfi, sağlam siber güvenlik önlemlerinin önemini vurgulamaktadır. Kuruluşlar:
- Güvenlik yazılımını güncelleyin En son tehdit tanımlarını içerecek şekilde.
- Çalışanları eğitin Kimlik avı saldırıları ve güvenli e-posta uygulamaları hakkında.
- Gelişmiş ağ izlemeyi uygulayın Olağandışı faaliyetleri tespit etmek için.
- Düzenli yedeklemeleri sürdürün Potansiyel ihlallerin etkisini azaltmak için kritik verilerin.
SneakyChef tehdit aktörünün devam eden faaliyetleri, dijital çağda sürekli dikkatli olunması gerektiğinin altını çiziyor.
Free Webinar! 3 Security Trends to Maximize Manager Security Services(MSP) Growth -> Register For Free