Ortaya çıkan Rusya bağlantılı bir tehdit grubu, birkaç modülünü Telegram aracılığıyla pazarladığı LilithBot adlı çok işlevli bir kötü amaçlı yazılım teklifine paketleyerek hizmet olarak kötü amaçlı yazılım operasyonunu hızlandırıyor.
Eternity grubu – aka EternityTeam veya Eternity Projesi – en az Ocak ayından beri aktif ve yeraltı forumlarında farklı Eternity markalı kötü amaçlı yazılım modüllerini dağıtmak için bir “hizmet olarak” abonelik modeli kullanıyor. Zscaler ThreatLabz araştırmacılarına göre, bireysel kötü amaçlı teklifleri arasında bir hırsız, madenci, botnet, fidye yazılımı, damlalıklı solucan ve dağıtılmış hizmet reddi (DDoS) botu yer alıyor. bir blog gönderisinde bu hafta yayınlandı.
Zscaler güvenlik araştırmacısı Shatak Jain ve kıdemli program yöneticisi Aditya Sharma, gönderide, yakın zamanda gözlemlenen bir kampanyada, Eternity’nin bu modüllerin bir kısmını “bu çeşitli yükler için tek noktadan alışveriş” şeklinde bir araya getirdiğini yazdı. Tehdit aktörü, çok işlevli LilithBot kötü amaçlı yazılımını özel Telegram grubu ve bir Tor bağlantısı aracılığıyla dağıtıyor.
Araştırmacılar, birden fazla varyantı olan LilithBot kampanyası hakkında, “Birincil botnet işlevselliğine ek olarak, yerleşik hırsız, kesme ve madenci yeteneklerine de sahipti” diye yazdı.
EternityTeam kimdir?
EternityTeam, Russian Jester Group ile bağlantılara sahiptir ve @EternityDeveloper adlı özel bir Telegram kanalı aracılığıyla reklamı yapılan bir hizmet olarak kötü amaçlı yazılım abonelik hizmeti aracılığıyla satılan bir kötü amaçlı yazılım araç seti sunar.
Diğer güvenlik şirketleri de grubu inceledi. Güvenlik firması Cyberint Ocak ayında, grubu ve çeşitli kötü amaçlı yazılım modüllerini yeraltı siber suç endüstrisinde dikkate alınması gereken yükselen bir güç olarak tanımladı. Mayısta, güvenlik firması Sekoia.IO’dan araştırma grubu yeni bir “önemli kötü amaçlı yazılım satıcısı” olarak tanımladı ve cephaneliğindeki çeşitli araçlar hakkında analiz sağladı.
Tipik olarak EternityTeam, hırsız, madenci, kırpıcı, fidye yazılımı, solucan artı damlalık ve DDoS Bot dahil olmak üzere ayrı ayrı farklı hizmetler sunar ve diğerlerinin yanı sıra Bitcoin, Ethereum, Monero ve Tether/USDT dahil olmak üzere çeşitli kripto para birimleri aracılığıyla ödeme kabul eder.
Eternity ayrıca özelleştirilmiş virüsler sunar ve müşteri talebi üzerine eklenti özellikleriyle virüsler oluşturur. Grubun sattığı çeşitli kötü amaçlı yazılımların fiyatı 90 ABD Doları ile 470 ABD Doları arasında değişmektedir ve fidye yazılımı ürünü en yüksek fiyatlıdır.
Siber suç grubu sıkı bir gemi işletiyor: Zscaler araştırmacıları, işinin birkaç nedenden dolayı son derece “kullanıcı dostu” olduğunu belirtti. Siber suçluların Tor üzerinden satın alması ve işletmesi kolaydır ve hizmet ödeme olarak kriptoyu kabul eder; müşterilerin ihtiyaçlarına göre özelleştirilebilir; ve ek ücret ödemeden düzenli olarak güncellendiğini söylediler. Grup ayrıca müşterilerine ek indirimler ve tavsiye ödülleri de sunuyor.
LilithBot Kampanyası
Meşru işletmeler genellikle hizmetleri bir araya getirmenin değerini gördüğünden, siber suç operatörleri de öyle. LilithBot, Eternity’nin çok işlevli kötü amaçlı yazılımı bir abonelik olarak sattığı, hizmet olarak kötü amaçlı yazılım modüllerini dağıtmasına benzer şekilde bu uygulamaya bir örnektir.
Saldırganların, tek bir temel yetkinliğe değil, tek bir pakette bir dizi kötü amaçlı işleve dayanan kötü amaçlı yazılım dağıttığı birçok başka örnek vardır. Yakın zamanda orijinal fidye yazılımı oluşturucusundan bir DDoS ve kripto madenciliği aracına dönüşen Chaos kötü amaçlı yazılımı bunun bir örneğidir.
LilithBot, yeni bir tür kötü amaçlı yazılıma dönüşmek yerine bir tehdit grubunun mevcut hizmetlerinin bir kombinasyonu olarak başlaması bakımından farklı olsa da, kötü niyetli, çok işlevli bir yumruk içermesi bakımından benzerdir.
Araştırmacılar, LilithBot’un kötü niyetli faaliyetini, etkilenen bir sisteme bir botnet olarak kaydolarak başlattığını ve ardından yapılandırma dosyasını bırakmak için adım adım şifresini çözdüğünü söyledi. Dosyaları ve kullanıcı bilgilerini çalmaya devam eder ve ardından bir zip dosyası aracılığıyla Tor ağını kullanarak bir komut ve kontrol (C2) sunucusuna yükler. LilithBot ayrıca algılamaları atlamak ve hırsız, kripto madenciliği ve kırpıcı olarak çeşitli işlevlerini sunmak için sahte sertifikalar kullanır.
Zscaler araştırmacıları, Eternity tarafından dağıtılan LilithBot’un iki çeşidini gözlemlediler ve her sürümün ana işlevlerinde küçük farklılıklar olduğunu söylediler. Spesifik olarak, daha önceki varyantlarda bulunan bazı komutlar, araştırmacıların analiz ettiği en yeni varyantta yoktu.
LilithBot’un en son sürümü artık Sandboxie, 360 Total Security, Avast ve COMODO Avs gibi sanal yazılımlarla ilgili çeşitli DLL’lerin varlığını veya DB-25 pin erkek, Centronics gibi fiziksel bağlantı portlarını temsil eden Win32_PortConnector’u kontrol etmiyor. veya kötü amaçlı yazılımın sanal makine yerine fiziksel bir makinede çalıştığından emin olmak için PS/2.
Araştırmacılar, “Grubun hala bu işlevleri yerine getirmesi muhtemel” diye yazdı, “ancak bunu daha karmaşık yollarla yapıyor: dinamik olarak gerçekleştirmek, diğer kod bölgeleri gibi işlevleri şifrelemek veya diğer gelişmiş taktikleri kullanmak gibi.”