Bluebottle adlı bir siber suç grubu, en az Temmuz 2022’den Eylül 2022’ye kadar Afrika’da bulunan Frankofon ülkelerinde finans sektörüne yönelik bir dizi hedefli saldırıyla bağlantılı.
Broadcom Software’in bir bölümü olan Symantec, “Grup, bu kampanyada dağıtılan özel bir kötü amaçlı yazılım olmadan, karada yaşayan, çift kullanımlı araçlar ve emtia kötü amaçlı yazılımlarından kapsamlı bir şekilde yararlanıyor.” dedim The Hacker News ile paylaşılan bir raporda.
Siber güvenlik firması, etkinlik paylaşımlarının, 2018 ile 2018 yılları arasında Afrika, Asya ve Latin Amerika’daki bankalara, finansal hizmetlere ve telekom şirketlerine yönelik düzinelerce saldırı gerçekleştiren Group-IB tarafından OPERA1ER adı altında izlenen bir tehdit kümesiyle örtüştüğünü söyledi. 2022.
Atıf, kullanılan araç setindeki benzerliklerden, saldırı altyapısından, ısmarlama kötü amaçlı yazılımların bulunmamasından ve Afrika’daki Fransızca konuşan ulusların hedeflenmesinden kaynaklanmaktadır. Bluebottle’ın saldırılardan başarılı bir şekilde para kazanıp kazanmadığı bilinmese de, üç Afrika ülkesindeki isimsiz üç farklı finans kurumu ihlal edildi.
DESKTOP-GROUP adıyla da bilinen mali amaçlı saldırgan, toplam 11 milyon $’ı bulan ve 30 milyon $’a ulaşan fiili hasarla sonuçlanan bir dizi soygundan sorumlu.
Son saldırılar, bulaşma zincirinin ilk aşamalarında GuLoader adlı kullanıma hazır bir kötü amaçlı yazılım kullanmanın yanı sıra güvenlik savunmalarını devre dışı bırakmak için çekirdek sürücülerini silah haline getirme de dahil olmak üzere grubun gelişen taktiklerini gösteriyor.
Symantec, kurban ağlarında iş temalı dosyalar tespit etmesine rağmen ilk izinsiz giriş vektörünü izleyemediğini söyledi, bu da ilgili kimlik avı tuzaklarının büyük olasılıkla hedefleri kötü amaçlı e-posta eklerini açmaları için kandırmak için kullanıldığını gösteriyor.
Dahası, 2022 Mayıs ayının ortalarında tespit edilen bir saldırı, yürütülebilir bir ekran koruyucu (.SCR) dosyası içeren bir ZIP dosyası biçiminde bilgi çalan kötü amaçlı bir yazılımın teslim edilmesini içeriyordu. Ayrıca Temmuz 2022’de, birçok tehdit aktörü tarafından kötü amaçlı yazılım dağıtmak için kullanılan bir optik disk görüntüsü (.ISO) dosyasının kullanıldığı gözlemlendi.
Araştırmacılar, “Bluebottle ve OPERA1ER aktörleri gerçekten bir ve aynıysa, bu onların enfeksiyon tekniklerini Mayıs ve Temmuz 2022 arasında değiştirdikleri anlamına gelir.”
Mızraklı kimlik avı ekleri, daha sonra makineye Netwire, Quasar RAT ve Cobalt Strike Beacon gibi ek yükler bırakmak için bir kanal görevi gören GuLoader’ın konuşlandırılmasına yol açar. Yanal hareket, PsExec ve SharpHound gibi araçlarla kolaylaştırılır.
Geçen ay Mandiant, SentinelOne ve Sophos’tan elde edilen bulgulara göre grup tarafından benimsenen bir başka teknik de güvenlik yazılımını sonlandırmak için imzalı bir yardımcı sürücünün kullanılması.
Aynı sürücünün (Mandiant tarafından POORTRY olarak adlandırılır) birkaç siber suç grubu tarafından kullanılmış olması, bu tehdit aktörlerinin kötü amaçlı yazılım geçiş onay mekanizmalarını almak için bir kod imzalama hizmeti kullandıkları teorisine güven veriyor.
Şirket, Fransızca konuştuğundan şüphelenilen tehdit aktörleriyle, saldırıların dünya genelinde Fransızca konuşan diğer ülkelere de yayılabileceği konusunda uyardı.
Araştırmacılar, “Kampanyalarının etkinliği, Bluebottle’ın bu faaliyeti durdurmasının pek olası olmadığı anlamına geliyor” dedi. “Afrika’daki Frankofon ülkelerine çok odaklanmış görünüyor, bu nedenle bu ülkelerdeki finans kurumları yüksek alarmda kalmalıdır.”