Kaspersky uzmanları, kar gözeten bir APT kümesi olan DeathStalker tarafından, bölümdeki muhakkak kuruluşlara sızmak için kullanılan Üzücü gayeli Janicab yazılımında yeni fonksiyonlar belirledi. Buna nazaran yeni varyant, Avrupa ile Orta şark bölgelerinde tespit edildi ve enfeksiyon zincirinin bir kesimi olarak YouTube üzere yasal servislerden yararlanıyor.
Janicab enfeksiyonları, dijital şantaj yahut fidye yazılımı üzere siber ataklardan kaynaklanan daha klâsik hasarın bilakis lojistik ve yasal kahırlara, rakiplere avantaj sağlamaya, Birden ve peşin hükümlü süreç kontrollerine ve fikri mülkiyetin berbata kullanılmasına yol açabiliyor.
Janicab’ı modüler, derleyici tarafından yorumlanmış programlama lisanına sahip Üzücü emelli yazılım olarak kabul edilebiliriz; bu, saldırganın az bir gayretle Janicab’e işlevler yahut gömülü evraklar ekleyebileceği/kaldırabileceği manasına geliyor. Kaspersky telemetrisine dayalı olarak (hedefe teslim sistemi amaca yönelik kimlik avı olarak kalsa da) daha yeni Janicab varyantları, birkaç Python evrakı ve öbür kodlama yapaylıklarını içeren arşivlerin varlığıyla Kıymetli ölçüde değişti. Buna nazaran bir kurban, Kötü maksatlı belgeyi açması için kandırıldığında, zincirleme olarak bir sıra Kötü maksatlı evraka maruz kalıyor.
DeathStalker’ın saldırgan yazılımının ayırt edici özelliklerinden bir oburu, sonrasında Üzücü gayeli yazılım implantı tarafından deşifre edilen kodlanmış bir diziyi barındırmak için DDR ve web servislerini kullanıyor olması. En nihayet raporlara nazaran Kaspersky, 2021 yılındaki ihlallerde de tespit edilmiş birtakım eski YouTube temaslarının tekrar kullanıldığını duyurdu. Arama motorlarında listelenmemiş olan web irtibatlarının sezgisel olmaması ve saptanmasının daha güç olması nedeniyle, saldırgan tespit edilmeden çalışabiliyor ve C2 altyapısını tekrar kullanabiliyor.
DeathStalker’ın klâsik tesir alanına giren etkilenen kuruluşlar öncelikli olarak yasal ve finansal yatırım idaresi (FSI) kurumları olarak biliniyor. Fakat Kaspersky, seyahat acentelerini de etkileyen kimi tehdit faaliyetlerini de kaydetti. Avrupa bölgesi, Orta şark ile birlikte, -ülkeler ortasında yoğunluk oranı değişmekle birlikte- DeathStalker için tipik bir çalışma alanı olarak gözüküyor.
Kaspersky’nin META Araştırma Merkezi Lideri Dr. Amin Hasbini “Yasal ve finansal kurumlar bu saldırgan için ortak bir amaç olduğundan, DeathStalker’ın anne maksatlarının VIP’ler, Aka finansal varlıklar ve rekabetçi Amel zekası ile birleşme ve devralmalara ait gizli bilgilerin yağmalanmasına dayandığını itimatla varsayabiliriz. Bu dallarda aktiflik gösteren kuruluşlar, dataların inançta kalmasını sağlamak için bu Cin müsaadesiz girişlere proaktif olarak hazırlanmalı ve / yahut tehdit modellerini güncellemelidir.” diyor
Saldırgan, Python, VBE ve VBS üzere derleyici aracılığıyla kullanılan yazılım lisanı tabanlı Kötü emelli yazılımları hem geçmişteki hem de yakın vakitteki ihlallerde kullanmaya devam ettiğinden, etkilenen kurumların rastgele bir ihlal teşebbüsünü engelleyebilmek için ak listeye ekli olan uygulamalara ve işletim sistemini güçlendirmeye güvenmesi gerekiyor. Ayrıyeten Janicab, C2 altyapısıyla bağlantı kurmak için Internet Explorer’ı gizli modda kullandığından, Emniyet programlarının GUI olmadan çalışan Internet Explorer süreçlerini de denetlemesi sağlanmalı diye düşünüyoruz.
Kaynak: (BYZHA) – ak Haber Ajansı
Yorum Yok