hack-haber

Gelişmiş StrongPity Hackerları, Yeniden Yapılmış Casus Yazılımlarla Suriye'yi ve Türkiye'yi Hedefliyor

Siber güvenlik araştırmacıları bugün, Suriye ve Türkiye'deki Kürt topluluğuna sürveyans ve istihbarat sızması amacıyla yapılan sulama delik saldırılarının yeni ayrıntılarını ortaya çıkardılar. Siber güvenlik firması Bitdefender , Hacker News ile paylaşılan bir raporda

, operasyonun arkasındaki gelişmiş kalıcı tehdidin, StrongPity olarak adlandırılan, tehlikeye atılan makineleri kontrol etmek için yeni taktiklerle yeniden şekillendiğini söyledi .

"Kurbanları seçici olarak enfekte etmek için sulama deliği taktiklerini kullanarak ve adli soruşturmalara engel olmak için üç katmanlı bir C&C altyapısı uygulayan APT grubu, arşivler, dosya kurtarma uygulamaları, uzaktan bağlantı uygulamaları, yardımcı programlar ve hatta güvenlik yazılımları gibi Truva atı popüler araçlarından yararlandı. Araştırmacılar, hedeflenen kurbanların arayabileceği çok çeşitli seçenekleri kapsamaktadır "dedi.
 

Geçen Ekim ayında Türk saldırısıyla çakışan kampanyada kullanılan analiz edilmiş kötü amaçlı yazılım örneklerinin zaman damgasıyla (kod adı Barış Baharı Operasyonu ), Bitdefender saldırıların siyasi olarak teşvik edilebileceğini söyledi.
 

Kötü Amaçlı Yazılımları Bırakmak için Boyalı Yükleyicileri Kullanma


StrongPity (veya Promethium ) ilk olarak Ekim 2016'da Belçika ve İtalya'daki WinRAR ve TrueCrypt dosya şifreleme yazılımının kötü amaçlı sürümlerini sunmak için sulama delikleri kullanan kullanıcılara yönelik saldırıların ardından kamuya açıklandı .

O zamandan beri APT, Türk Telekom'un Türkiye ve Suriye'deki yüzlerce kullanıcıyı otantik yazılımın zararlı StrongPity sürümlerine yönlendirmek için ağını kötüye kullanan 2018 operasyonuna bağlandı .
 

Böylece, hedeflenen kullanıcılar resmi web sitesinde meşru bir uygulama indirmeye çalıştığında, sistemlerden ödün vermek için bir sulama deliği saldırısı veya bir HTTP yönlendirmesi gerçekleştirilir.

Geçtiğimiz Temmuz ayında AT&T Alien Labs , StrongPity'i yüklemek ve rakip altyapı ile iletişim kurmak için WinBox yönlendirici yönetim yazılımının ve WinRAR dosya arşivleyicisinin truva atı versiyonlarından yararlanan yeni bir casus yazılım kampanyasının kanıtını buldu .

Bitdefender tarafından belirlenen yeni saldırı yöntemi aynı kalıyor: McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp ve Piriform's CCleaner - yerelleştirilmiş yazılım kümeleri ve paylaşımcılarında barındırılan kurcalanmış yükleyicilerden yararlanarak önceden tanımlanmış IP listesini kullanan Türkiye ve Suriye'deki hedef kurbanlar.

Araştırmacılar, "İlginç bir şekilde, kusurlu uygulamalarla ilgili olarak incelenen tüm dosyalar, Pazartesi'den Cuma'ya, normal 9 ila 6 UTC + 2 çalışma saatinde derlenmiş gibi görünüyor." Dedi. "Bu, StrongPity'nin belirli 'projeleri sunmak için ödenen sponsorlu ve organize bir geliştirici ekibi olabileceği fikrini güçlendiriyor." "

Kötü amaçlı yazılım damlalığı indirilip yürütüldüğünde, belge sızıntısı için bir komut ve kontrol sunucusuyla iletişim kuran arka kapı kuruluyor ve yürütülecek komutları almak için.

Ayrıca, kurbanın makinesinde her sürücüde dolaşan ve ZIP arşivi biçiminde dışarı aktarılacak belirli uzantılara (örneğin, Microsoft Office belgeleri) sahip dosyaları arayan bir "Dosya Arayıcı" bileşeni dağıtır.

Bu ZIP dosyası daha sonra birden çok gizli ".sft" şifrelenmiş dosyaya bölünür, C&C sunucusuna gönderilir ve sonuçta dışarı sızma izlerini kapsayacak şekilde diskten silinir.
 

Suriye'nin ve Türkiye'nin Ötesine Genişlemek


Suriye ve Türkiye yinelenen hedefleri olsa da, StrongPity'nin arkasındaki tehdit aktörü, Firefox, VPNpro, DriverPack ve 5kPlayer'ın lekeli sürümlerini kullanarak Kolombiya, Hindistan, Kanada ve Vietnam'daki kullanıcıları enfekte etmek için mağduriyetlerini genişletiyor gibi görünüyor

StrongPity3 olarak adlandırılan Cisco Talos araştırmacıları dün, belge aramasını başlatmak ve toplanan dosyaları iletmek için "winprint32.exe" adlı bir modül kullanan gelişen bir kötü amaçlı yazılım araç setini açıkladı. Dahası, sahte Firefox yükleyici, kötü amaçlı yazılımı bırakmadan önce ESET veya BitDefender antivirüs yazılımının yüklü olup olmadığını da kontrol eder.

Araştırmacılar, "Bu özellikler, bu tehdit aktörünün aslında kiralama operasyonu için bir kurumsal hizmetin parçası olabileceğinin işaretleri olarak yorumlanabilir." Dedi. "Her kötü amaçlı yazılım parçasının benzerliğinin son derece benzer olması ancak küçük değişikliklerle farklı hedeflerde kullanılması nedeniyle bunun profesyonel olarak paketlenmiş bir çözüme sahip olduğuna inanıyoruz."




Yorumlar Toplam Yorum Henüz yorum Yapan Yok


Yorum Yap


Scroll to Top