Siber güvenlik araştırmacıları, saldırı kampanyalarının bir parçası olarak tehdit aktörleri tarafından giderek daha fazla kullanılan, kullanımı ücretsiz bir tarayıcı otomasyon çerçevesine dikkat çekiyor.
Team Cymru’dan araştırmacılar, “Çerçeve, kötü niyetli faaliyetlerin etkinleştirilmesinde kullanılabileceğini değerlendirdiğimiz çok sayıda özellik içeriyor.” dedim Çarşamba günü yayınlanan yeni bir raporda.
“Çerçeve için teknik giriş çubuğu bilerek düşük tutuluyor, bu da aktif bir içerik geliştiriciler ve katkıda bulunanlar topluluğu oluşturmaya hizmet etti, yeraltı ekonomisindeki aktörler ısmarlama araçların oluşturulması için zamanlarını ilan etti.”
ABD siber güvenlik şirketi, Bumblebee, BlackGuard ve RedLine Stealer gibi kötü amaçlı yazılımlarla ilişkili komut ve kontrol (C2) IP adreslerini Bablosoft’un indirme alt etki alanına (“downloads.bablosoft”) bağlantı kurduğunu gözlemlediğini söyledi.[.]com”), Tarayıcı Otomasyon Stüdyosu’nun (BAS) üreticisi.
Bablosoft daha önce belgelenmiş bulut güvenliği ve uygulama teslim firması F5 tarafından Şubat 2021’de, çerçevenin Google’ın Chrome tarayıcısındaki görevleri Puppeteer ve Selenium gibi meşru geliştirici araçlarına benzer bir şekilde otomatikleştirme yeteneğine işaret etti.
Alt etki alanının IP adresi için tehdit telemetrisi — 46.101.13[.]144 — Bablosoft’un sahibinin iddiaya göre Ukrayna’nın başkenti Kiev’de yerleşik olduğunu gösteren açık kaynaklı istihbaratla, faaliyetlerin büyük çoğunluğunun Rusya ve Ukrayna’daki konumlardan kaynaklandığını gösteriyor.
Kötü amaçlı yazılım kampanyalarının operatörlerinin, istismar sonrası faaliyetlerin bir parçası olarak kullanılmak üzere ek araçlar indirmek amacıyla Bablosoft alt etki alanına bağlı olduğundan şüpheleniliyor.
Ayrıca, “fingerprints.bablosoft” adlı ikinci bir alt etki alanı ile iletişim kuran XMRig ve Tofsee gibi kripto hırsızlığı yapan kötü amaçlı yazılımlarla ilişkili birkaç ana bilgisayar da tespit edildi.[.]com” madencilik kötü amaçlı yazılımının davranışını gizlemesine yardımcı olan bir hizmet kullanmak için.
Araştırmacılar, “Bablosoft web sitesinde sunulan araçları halihazırda kullanan aktörlerin sayısına dayanarak, BAS’ın yalnızca tehdit aktörünün araç setinin daha yaygın bir unsuru haline gelmesini bekleyebiliriz” dedi.