‘TetrisPhantom’ olarak takip edilen yeni ve karmaşık bir tehdit, Asya-Pasifik bölgesindeki hükümet sistemlerini hedef almak için güvenliği ihlal edilmiş güvenli USB sürücüleri kullanıyor.
Güvenli USB sürücüleri, dosyaları cihazın şifrelenmiş bir bölümünde saklar ve hava boşluklu ortamlar da dahil olmak üzere sistemler arasında güvenli bir şekilde veri aktarımı için kullanılır.
Korunan bölüme erişim, kullanıcı tarafından sağlanan parolaya göre içeriğin şifresini çözen özel yazılım aracılığıyla mümkündür. Böyle bir yazılım, USB sürücüsünün şifrelenmemiş bir bölümünde paketlenmiş olan UTetris.exe’dir.
Güvenlik araştırmacıları, en az birkaç yıldır süren ve APAC bölgesindeki hükümetleri hedef alan bir saldırı kampanyasında, güvenli USB cihazlarına yerleştirilen UTetris uygulamasının truva atı haline getirilmiş sürümlerini keşfetti.
Kaspersky’nin APT trendleriyle ilgili en son raporuna göre TetrisPhantom, karmaşık ve iyi kaynaklara sahip bir tehdit grubuna işaret eden çeşitli araçlar, komutlar ve kötü amaçlı yazılım bileşenleri kullanıyor.
“Saldırı, kötü amaçlı yazılım bileşenleri için sanallaştırma tabanlı yazılım gizleme, doğrudan SCSI komutlarını kullanarak USB sürücüyle düşük seviyeli iletişim, diğer hava boşluklu sistemlere yayılmak için bağlı güvenli USB sürücüler aracılığıyla kendi kendini kopyalama ve enjeksiyon dahil olmak üzere gelişmiş araç ve teknikleri içeriyor. kodu, yeni bir makinedeki kötü amaçlı yazılım için yükleyici görevi gören USB sürücüsündeki meşru bir erişim yönetimi programına aktarın. -Kaspersky
Saldırı ayrıntıları
Kaspersky, BleepingComputer ile ek ayrıntılar paylaşarak, truva atı haline getirilmiş Utetris uygulamasına yapılan saldırının, hedef makinede AcroShell adı verilen bir veri yükünün çalıştırılmasıyla başladığını açıkladı.
AcroShell, saldırganın komuta ve kontrol (C2) sunucusuyla bir iletişim hattı kurar ve belgeleri ve hassas dosyaları çalmak için ek yükler alıp çalıştırabilir ve hedef tarafından kullanılan USB sürücüleri hakkında belirli ayrıntıları toplayabilir.
Tehdit aktörleri bu şekilde toplanan bilgileri XMKR adlı başka bir kötü amaçlı yazılımın ve truva atı haline getirilmiş UTetris.exe’nin araştırılması ve geliştirilmesi için de kullanıyor.
“XMKR modülü bir Windows makinesine yerleştirildi ve sisteme bağlı güvenli USB sürücülerini tehlikeye atarak saldırıyı potansiyel olarak hava boşluğu olan sistemlere yaymaktan sorumlu” – Kaspersky
XMKR’nin cihazdaki yetenekleri arasında casusluk amacıyla dosyaların çalınması yer alıyor ve veriler USB sürücülere yazılıyor.
Güvenliği ihlal edilen USB’deki bilgiler, depolama cihazı AcroShell bulaşmış, internete bağlı bir bilgisayara takıldığında saldırganın sunucusuna sızıyor.
Kaspersky, biri Eylül ve Ekim 2022 arasında kullanılan (sürüm 1.0) ve diğeri Ekim 2022’den bu yana devlet ağlarında kullanılan (sürüm 2.0) iki kötü amaçlı Utetris yürütülebilir varyantını alıp analiz etti.
Kaspersky, bu saldırıların en az birkaç yıldır devam ettiğini ve TetrisPhantom’un sürekli odak noktasının casusluk olduğunu söylüyor. Araştırmacılar, hükümet ağlarında hedefli bir operasyona işaret eden az sayıda enfeksiyon gözlemledi.