Azerbaycan ve İsrail’i hedef alan ve hassas verileri çalmayı amaçlayan bir dizi saldırının, daha önce bilinmeyen bir tehdit aktörünün sorumluluğunda olduğu ortaya çıktı.
NSFOCUS tarafından 1 Temmuz 2024’te tespit edilen saldırı kampanyası, Azerbaycan ve İsrail diplomatlarını tek tek belirlemek için hedefli kimlik avı e-postalarından yararlandı. Etkinlik, şu takma ad altında izleniyor: Oyuncu240524.
Siber güvenlik şirketi geçen hafta yayınladığı analizde, “Actor240524, saldırı taktikleri ve tekniklerinin aşırı açığa çıkmasını önlemek için çeşitli karşı önlemler kullanarak sırları çalma ve dosya verilerini değiştirme yeteneğine sahip” dedi.
Saldırı zincirleri, açıldığında alıcıları “İçeriği Etkinleştir”e ve ABCloader (“MicrosoftWordUpdater.log”) kod adlı bir ara yükleyici yükünü yürütmekten sorumlu kötü amaçlı bir makroyu çalıştırmaya yönlendiren Microsoft Word belgeleri içeren kimlik avı e-postalarının kullanılmasıyla başlıyor.
Sonraki adımda ABCloader, ABCsync (“synchronize.dll”) adlı bir DLL kötü amaçlı yazılımının şifresini çözmek ve yüklemek için bir kanal görevi görür ve bu da daha sonra uzak bir sunucuyla (“185.23.253″) bağlantı kurar.[.]143”) komutları almak ve çalıştırmak için kullanılır.
“Ana işlevi, çalışan ortamı belirlemek, programı şifresini çözmek ve sonraki DLL’yi (ABCsync) yüklemektir,” dedi NSFOCUS. “Ardından, çevresel algılama için çeşitli anti-sandal ve anti-analiz teknikleri gerçekleştirir.”
ABCsync’in öne çıkan işlevlerinden bazıları uzak kabukları çalıştırmak, cmd.exe kullanarak komutları çalıştırmak ve sistem bilgilerini ve diğer verileri dışarı aktarmaktır.
Hem ABCloader hem de ABCsync’in önemli dosya yollarını, dosya adlarını, anahtarları, hata mesajlarını ve komut ve kontrol (C2) adreslerini gizlemek için dize şifreleme gibi teknikler kullandığı gözlemlenmiştir. Ayrıca, görüntüleme çözünürlüğünü doğrulayarak işlemlerin sanal bir makinede veya sanal alanda hata ayıklanıp ayıklanmadığını veya yürütülüp yürütülmediğini belirlemek için çeşitli kontroller gerçekleştirirler.
Actor240524’ün attığı bir diğer kritik adım ise, saldırıya uğrayan sistemde çalışan işlem sayısının 200’den az olup olmadığını denetlemesi ve eğer sayı 200’den az ise kötü amaçlı işlemi sonlandırmasıdır.
ABCloader aynı zamanda “synchronize.exe” adlı benzer bir yükleyiciyi ve ana bilgisayarda kalıcılığı ayarlama yeteneğine sahip “vcruntime190.dll” veya “vcruntime220.dll” adlı bir DLL dosyasını başlatmak üzere tasarlanmıştır.
“Azerbaycan ve İsrail yakın ekonomik ve politik alışverişleri olan müttefik ülkelerdir,” dedi NSFOCUS. “Actor240524’ün bu seferki operasyonu muhtemelen iki ülke arasındaki iş birliğine yöneliktir ve her iki ülkenin diplomatik personeline yönelik kimlik avı saldırılarını hedef almaktadır.”