Bitdefender Labs uzmanları yeni bir kötü amaçlı yazılım ailesi keşfetti. DownEx adlı sofistike ve çok hedefli saldırı şu anda hala Orta Asya'daki devlet kurumlarını hedefliyor. Bu bölgelerde faaliyet gösteren firmalar da mağdur olabiliyor.
Saldırganların asıl amacı casusluk ve bilgi sızdırmaktır. Dosyasız saldırının kötü amaçlı kodu, büyük ölçüde yalnızca ana bellekte yürütülür ve bu nedenle tespit edilmesi zordur. Uzmanlar, Python komut dosyasını analiz ederek ve komuta ve kontrol (C2C) sunucusuyla iletişimde tersine mühendislik yaparak, kötü amaçlı yazılımın dört ana işlevini tanımlayabildiler: Bilgisayar korsanlarının dosyaları özellikle taramasına, onları dışarı sızdırmasına ve silmesine olanak tanır. veya etkilenen sistemlerin ekran içeriklerinin ekran görüntülerini alın.
Casusluk: Gizli veri arayışında
Kampanya yazarları, .pgp (Pretty Good Privacy) veya .pem (Privacy Enhanced Mail) uzantılı olanlar gibi gizli verilerle özellikle ilgilenir. Bilgisayar korsanları ayrıca QuickBooks günlük dosyaları (.tlg uzantılı) gibi finansal verileri de arar.
Kampanyayla ilişkili alan adı ve IP adresleri yenidir. Kötü amaçlı kod, önceden bilinen kötü amaçlı yazılımla hiçbir benzerlik göstermiyor. Bitdefender Labs, yeni kötü amaçlı yazılım kampanyasını ilk fark eden oldu ve ona DownEx adını verdi.
Şirketlere yönelik hedefli saldırılar
Bilgisayar korsanları özellikle seçilmiş kurbanları hedefler. Orijinal saldırı vektörü net değil, ancak hedef odaklı kimlik avı ve sosyal mühendislik muhtemelen her saldırının başında yer alıyor. Siber suçlular, yükü görüntülemek için yürütülebilir bir dosyayı kötü amaçlı bir yük olarak gizleyen bir .docx dosyasına sahip klasik ve basit bir simge kullanır. İkinci yük, güvenliği ihlal edilmiş sistemi C2C sunucusuna bağlayan gömülü kötü amaçlı VBScript kodu içeren bir .hta dosyasıdır (ancak bu dosya uzantısı yoktur). Bir .hta (HTML Uygulaması) dosyası, Windows işletim sistemi ortamlarında bağımsız bir uygulama olarak çalışan VBScript, HTML, CSS veya JavaScript kodu içerir. Sunucu ile kurban sistem arasında tespit edilmesi zor olan müteakip iletişim, Python tabanlı arka kapı help.py aracılığıyla yürütülür.
Rus geçmişi? – Devlet geçmişi!
Kullanılan göstergeler ve teknikler, aktörlerin Rus geçmişine işaret edebilir. Ancak bu konuda kesin bir açıklama yapılamaz. Verilen bir diplomat kimliğiyle kullanılan belgenin meta verileri bir gösterge olabilir.
Bir anın var mı?
2023 kullanıcı anketimiz için birkaç dakikanızı ayırın ve B2B-CYBER-SECURITY.de'nin daha iyi olmasına yardımcı olun!Yalnızca 10 soruyu yanıtlamanız yeterlidir ve anında Kaspersky, ESET ve Bitdefender'dan ödüller kazanma şansınız olur.
Buradan doğrudan ankete gidersiniz
Aynı şekilde, kötü amaçlı yazılım Microsoft 2016'nın kırık bir sürümünü kullanır ve bu sürüm çoğunlukla Rusça konuşulan ülkelerde dağıtılır ("SPecialisST RePack" veya "Rusça RePack by SPecialiST"). Arka kapı da iki dilde yazılmıştır. Bu uygulama, Rusya merkezli APT28 grubu ve onun Zebrocy arka kapısından bilinmektedir. Ancak bu belirtiler yeterli değildir. Son derece hedefli saldırının devlet geçmişi açıktır. Word belgesinin meta verileri, varsayılan gönderici olarak gerçek bir diplomatı gösterir.
Bitdefender.com'da daha fazlası
Bitdefender Hakkında Bitdefender, 500'den fazla ülkede 150 milyondan fazla sistemi koruyan siber güvenlik çözümleri ve antivirüs yazılımında dünya lideridir. 2001 yılında kuruluşundan bu yana şirketin yenilikleri düzenli olarak mükemmel güvenlik ürünleri ve özel müşteriler ve şirketler için cihazlar, ağlar ve bulut hizmetleri için akıllı koruma sağladı. Tercih edilen tedarikçi olarak Bitdefender teknolojisi, dünyanın dağıtılan güvenlik çözümlerinin yüzde 38'inde bulunur ve hem endüstri profesyonelleri, üreticiler hem de tüketiciler tarafından güvenilmekte ve tanınmaktadır. www.bitdefender.de