Bir tehdit oyuncusu, birden fazla bilgi çalma ve fidye yazılımı suşları sunan görülen Purecrypter kötü amaçlı yazılım indiricisi olan hükümet kuruluşlarını hedefliyor.
Menlo Security'deki araştırmacılar, tehdit oyuncusunun ilk yükü ağırlamak için Discord'u kullandığını ve kampanyada kullanılan ek ev sahiplerini saklamak için kar amacı gütmeyen bir kuruluştan ödün verdiğini keşfetti.
Araştırmacılar, "Kampanyanın Redline Stealer, AgentTesla, Eternity, Blackmoon ve Philadelphia fidye yazılımı dahil olmak üzere çeşitli kötü amaçlı yazılım türleri sunduğu bulundu." Diyor.
Araştırmacılara göre, gözlemlenen Purecrypter kampanyası Asya-Pasifik (APAC) ve Kuzey Amerika bölgelerindeki birden fazla hükümet organizasyonunu hedef aldı.
Saldırı, şifre korumalı bir fermuar arşivinde bir PurecryPter örneğine işaret eden bir Discord App URL'si olan bir e-posta ile başlar.
PurecryPter, Mart 2021'de Wild'da ilk görülen .NET tabanlı bir kötü amaçlı yazılım indiricisidir. Operatörü, çeşitli kötü amaçlı yazılım türlerini dağıtmak için diğer siber suçlulara kiralar.
Yürütüldüğünde, bu durumda kar amacı gütmeyen bir kuruluşun tehlikeye atılmış sunucusu olan bir komut ve kontrol sunucusundan sonraki aşamalı yükü sunar.
Menlo Security'deki araştırmacıların analiz ettiği örnek AgentTesla idi. Başlatıldığında, çalınan verileri almak için kullanılan Pakistan tabanlı bir FTP sunucusuna bir bağlantı kurar.
Araştırmacılar, tehdit aktörlerinin belirli bir FTP sunucusunun kontrolünü kendi başlarına kurmak yerine, kimlik risklerini azaltmak ve izlerini en aza indirmek için sızdırılmış kimlik bilgileri kullandıklarını buldular.
AgentTesla, son sekiz yıldır siber suçlular tarafından kullanılan bir .NET kötü amaçlı yazılım ailesidir. Kullanımı 2020'nin sonlarında ve 2021 başlarında zirve yapıyor.
COFENSE tarafından yapılan yakın tarihli bir rapor, AgentTesla'nın yaşına rağmen yıllar boyunca sürekli gelişim ve iyileştirme alan uygun maliyetli ve son derece yetenekli bir arka kapı olduğunu vurgulamaktadır.
AgentTesla’nın Keylogging Etkinliği, 2022'de kaydedilen tüm Keylogger raporlarının kabaca üçte birini oluşturdu.
Kötü amaçlı yazılımların yetenekleri şunları içerir:
Menlo Labs tarafından incelenen saldırılarda, tehdit aktörlerinin AgentTesla yükünü antivirüs araçlarından tespit etmek için meşru bir sürece (“cvtres.exe”) enjekte etmek için süreç oyalaması kullandıkları keşfedildi.
Ayrıca, AgentTesla, yapılandırma dosyaları gibi C2 sunucusu ile iletişimini ağ trafik izleme araçlarından korumak için XOR şifrelemesini kullanır.
Menlo Security, Purecrypter kampanyasının arkasındaki tehdit aktörünün önemli bir şey olmadığına, ancak hükümet kuruluşlarını hedefleme nedeniyle faaliyetini izlemeye değer olduğuna inanıyor.
Saldırganın, yeni bir tane bulmaya zorlanmadan önce mümkün olduğunca uzun süre tehlikeye atılan altyapı kullanmaya devam etmesi muhtemeldir.
Yeni S1Deload Stealer kötü amaçlı yazılım kaçırmaları YouTube, Facebook Hesapları
Yeni Stealc kötü amaçlı yazılım, çok çeşitli çalma özellikleriyle ortaya çıkıyor
Bilgi Çalma Kötü Yazılımları ile Hacker Bombardı PYPI Platformu
Ukrayna'da yeni Graphiron Informater Stealer kullanan Rus hackerlar
Yeni Koyu Pembe Apt Grubu Govt ve Orduyu Özel Kötü Yazılımlarla Hedefliyor
Kaynak: Bleeping Computer