Kaspersky istihbaratına göre bir siber suç grubu kötü amaçlı yazılımlarla hukuk, finans ve seyahat kurumlarını hedefliyor
Kaspersky uzmanları, kâr amacı güden bir APT kümesi olan DeathStalker tarafından bölümdeki makul kuruluşlara sızmak için kullanılan kötü amaçlı Janicab yazılımında yeni işlevler belirledi. Buna göre yeni varyant, Avrupa ve Orta Doğu bölgelerinde tespit edildi ve bulaşma zincirinin bir modülü olarak YouTube gibi yasal hizmetleri kullanıyor.
Janicab bulaşmaları, dijital şantaj veya fidye yazılımı gibi siber saldırılardan kaynaklanan daha klasik hasarın tersi, lojistik ve yasal sorunlara, rekabet avantajına, ani ve önyargılı süreç kontrollerine ve fikri mülkiyetin kötüye kullanılmasına yol açabilir.
Janicab’ı modüler, derleyici tarafından yorumlanan, berbat bir çok amaçlı yazılım olan bir programlama dili olarak düşünebiliriz; Bu, bir saldırganın çok az çabayla Janicab’a işlevler veya katıştırılmış belgeler ekleyebileceği/kaldırabileceği anlamına gelir. Kaspersky telemetrisine dayalı olarak (hedef teslim mekanizması hedefli kimlik avı olmaya devam etse de), daha yeni Janicab varyantları, birkaç Python belgesi ve diğer kodlama yapılarını içeren arşivlerin varlığıyla önemli ölçüde değişti. Buna göre, bir kurban kandırılarak kötü amaçlı bir belge açtığında, bir zincir halinde bir dizi kötü amaçlı belgeye maruz kalır.
DeathStalker’ın saldırgan yazılımının ayırt edici özelliklerinden biri, daha sonra kötü amaçlı yazılım implantı tarafından kodu çözülen kodlanmış bir diziyi barındırmak için DDR ve web hizmetlerini kullanmasıdır. Son raporlara göre Kaspersky, 2021’de ihlallerde de tespit edilen bazı eski YouTube bağlantılarının yeniden kullanıldığını duyurdu. Arama motorlarında listelenmeyen web kişileri sezgisel olmadığından ve tespit edilmesi daha zor olduğundan, saldırgan tespit edilmeden çalışabilir ve yine de C2 altyapısını kullanabilir.
DeathStalker’ın klasik etki alanına giren etkilenen kuruluşlar, öncelikle yasal ve finansal yatırım yönetimi (FSI) kurumları olarak bilinir. Ancak Kaspersky, seyahat acentelerini de etkileyen bazı tehdit etkinlikleri kaydetti. Orta Doğu ile birlikte Avrupa bölgesi, ülkenin ortasında yoğunluk değişse de DeathStalker için tipik bir çalışma alanı gibi görünüyor.
Kaspersky’nin META Araştırma Merkezi Başkanı Dr. Amen Hasbin” Yasal ve finansal kurumlar bu saldırganın ortak hedefi olduğundan, DeathStalker’ın ana hedeflerinin VIP’ler, büyük finansal varlıklar ve rekabetçi iş istihbaratının yanı sıra birleşme ve satın almalarla ilgili örtülü bilgilerin yağmalanmasına dayandığını güvenle söyleyebiliriz. Bu segmentlerde faaliyet gösteren kuruluşlar, bilgilerin güvende kalmasını sağlamak için bu tür izinsiz girişlere proaktif olarak hazırlanmalı ve/veya tehdit modellerini güncellemelidir.” diyor
Saldırgan, hem geçmiş hem de yeni ihlallerde Python, VBE ve VBS gibi derleyici tabanlı kötü amaçlı yazılım tabanlı kötü amaçlı yazılımları kullanmaya devam ettiğinden, etkilenen kuruluşlar, herhangi bir ihlal girişimini engellemek için beyaz listeye alınmış uygulamalara ve işletim sistemi güçlendirmeye güvenmelidir. Ayrıca Janicab, Internet Explorer’ı batı modunda C2 altyapısına bağlanmak için kullandığından, GUI olmadan çalışan Internet Explorer işlemlerini kontrol etmek için güvenlik programları da yapılması gerektiğini düşünüyoruz.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
