Yeni Siber Tehdit Azerbaycan ve İsrail Diplomatlarını Hedef Alıyor, Hassas Verileri Çalıyor


15 Ağu 2024Ravie LakshmananSiber Casusluk / Veri Hırsızlığı

Azerbaycan ve İsrail Diplomatları

Azerbaycan ve İsrail’i hedef alan ve hassas verileri çalmayı amaçlayan bir dizi saldırının, daha önce bilinmeyen bir tehdit aktörünün sorumluluğunda olduğu ortaya çıktı.

NSFOCUS tarafından 1 Temmuz 2024’te tespit edilen saldırı kampanyası, Azerbaycan ve İsrail diplomatlarını tek tek belirlemek için hedefli kimlik avı e-postalarından yararlandı. Etkinlik, şu takma ad altında izleniyor: Oyuncu240524.

Siber güvenlik şirketi geçen hafta yayınladığı analizde, “Actor240524, saldırı taktikleri ve tekniklerinin aşırı açığa çıkmasını önlemek için çeşitli karşı önlemler kullanarak sırları çalma ve dosya verilerini değiştirme yeteneğine sahip” dedi.

Siber Güvenlik

Saldırı zincirleri, açıldığında alıcıları “İçeriği Etkinleştir”e ve ABCloader (“MicrosoftWordUpdater.log”) kod adlı bir ara yükleyici yükünü yürütmekten sorumlu kötü amaçlı bir makroyu çalıştırmaya yönlendiren Microsoft Word belgeleri içeren kimlik avı e-postalarının kullanılmasıyla başlıyor.

Sonraki adımda ABCloader, ABCsync (“synchronize.dll”) adlı bir DLL kötü amaçlı yazılımının şifresini çözmek ve yüklemek için bir kanal görevi görür ve bu da daha sonra uzak bir sunucuyla (“185.23.253″) bağlantı kurar.[.]143”) komutları almak ve çalıştırmak için kullanılır.

Azerbaycan ve İsrail Diplomatları

“Ana işlevi, çalışan ortamı belirlemek, programı şifresini çözmek ve sonraki DLL’yi (ABCsync) yüklemektir,” dedi NSFOCUS. “Ardından, çevresel algılama için çeşitli anti-sandal ve anti-analiz teknikleri gerçekleştirir.”

ABCsync’in öne çıkan işlevlerinden bazıları uzak kabukları çalıştırmak, cmd.exe kullanarak komutları çalıştırmak ve sistem bilgilerini ve diğer verileri dışarı aktarmaktır.

Hem ABCloader hem de ABCsync’in önemli dosya yollarını, dosya adlarını, anahtarları, hata mesajlarını ve komut ve kontrol (C2) adreslerini gizlemek için dize şifreleme gibi teknikler kullandığı gözlemlenmiştir. Ayrıca, görüntüleme çözünürlüğünü doğrulayarak işlemlerin sanal bir makinede veya sanal alanda hata ayıklanıp ayıklanmadığını veya yürütülüp yürütülmediğini belirlemek için çeşitli kontroller gerçekleştirirler.

Siber Güvenlik

Actor240524’ün attığı bir diğer kritik adım ise, saldırıya uğrayan sistemde çalışan işlem sayısının 200’den az olup olmadığını denetlemesi ve eğer sayı 200’den az ise kötü amaçlı işlemi sonlandırmasıdır.

ABCloader aynı zamanda “synchronize.exe” adlı benzer bir yükleyiciyi ve ana bilgisayarda kalıcılığı ayarlama yeteneğine sahip “vcruntime190.dll” veya “vcruntime220.dll” adlı bir DLL dosyasını başlatmak üzere tasarlanmıştır.

“Azerbaycan ve İsrail yakın ekonomik ve politik alışverişleri olan müttefik ülkelerdir,” dedi NSFOCUS. “Actor240524’ün bu seferki operasyonu muhtemelen iki ülke arasındaki iş birliğine yöneliktir ve her iki ülkenin diplomatik personeline yönelik kimlik avı saldırılarını hedef almaktadır.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link