Asya’daki nakliye şirketleri ve tıbbi laboratuvarlar, daha önce hiç görülmemiş bir tehdit aktörü tarafından yürütülen şüpheli bir casusluk kampanyasının konusu oldu. hidrogazma.
The Hacker News ile paylaşılan bir raporda, Broadcom Software tarafından hazırlanan Symantec, Ekim 2022’den beri devam eden faaliyetin “yalnızca halka açık ve arazi dışında yaşayan araçlara dayandığını” söyledi.
Bilinen tehdit aktörleriyle kökenini veya ilişkisini belirlemek için henüz bir kanıt yok, ancak siber güvenlik şirketi, grubun COVID-19 ile ilgili tedaviler veya aşılarla ilgili sektör dikeyleriyle ilgileniyor olabileceğini söyledi.
Kampanyanın göze çarpan yönleri, tehdit aktörünün istihbarat toplamak için açık kaynak araçları kullanması ile veri hırsızlığının ve özel kötü amaçlı yazılımın olmamasıdır. Halihazırda mevcut araçları kullanarak, görünen o ki amaç, yalnızca ilişkilendirme çabalarını karıştırmak değil, aynı zamanda saldırıları daha gizli hale getirmek.
Bulaşma zincirinin başlangıcı büyük olasılıkla, başlatıldığında makineye ilk erişim sağlayan özgeçmiş temalı bir yem belgesi içeren bir kimlik avı mesajıdır.
Oradan, saldırganların Fast Reverse Proxy (FRP), Meterpreter, Cobalt Strike Beacon, Fscan, BrowserGhost ve Gost proxy gibi bir dizi aracı dağıttığı gözlemlendi.
Araştırmacılar, “Hydrochasma tarafından konuşlandırılan araçlar, kurban makinelere kalıcı ve gizli erişim elde etme arzusunun yanı sıra ayrıcalıkları artırma ve kurban ağları arasında yatay olarak yayılma çabasını gösteriyor” dedi.
Hacking grupları tarafından FRP’nin kötüye kullanımı iyi belgelenmiştir. Ekim 2021’de Positive Technologies, güvenliği ihlal edilmiş ana bilgisayarları kontrol etmek için aracı kullanmayı içeren ChamelGang tarafından düzenlenen saldırıları açıkladı.
Ardından geçen Eylül ayında, AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC), rakibin kaynağını gizlemek için zaten güvenliği ihlal edilmiş sunuculardan uzaktan erişim sağlamak için FRP’den yararlanan Güney Koreli şirketleri hedef alan saldırıları ortaya çıkardı.
Hydrochasma, son aylarda ısmarlama kötü amaçlı yazılımlardan tamamen kaçınan tek tehdit aktörü değil. Buna, Afrika’daki Frankofon ülkelerini hedef alan izinsiz girişlerde arazi dışında yaşayan, çift kullanımlı araçlar ve emtia kötü amaçlı yazılımlarından kapsamlı bir şekilde yararlanan OPERA1ER (namı diğer Bluebottle) adlı bir siber suç grubu dahildir.