Asya-Pasifik bölgesindeki devlet kurumlarını ve askeri kuruluşları hedef alan yeni ve tehlikeli bir siber suç grubu tespit edildi.
Tehdit aktörünü tespit eden çok sayıda siber güvenlik firmasına göre, hedef uç noktalardan hassas bilgiler elde etmek için alışılmışın dışında taktikler uyguluyor gibi görünüyor. (yeni sekmede açılır).
Başlangıçta iki siber güvenlik firması saldırganları izliyordu – Group-IB ve Anheng Hunting Labs. İlki grubu Dark Pink olarak adlandırırken, ikincisi onu Saaiwc Group olarak adlandırıyor. Adı ne olursa olsun, bilgisayar korsanları ilk dağıtım için mızraklı kimlik avı saldırıları ve yaymak için virüslü USB sürücüleri kullanıyor.
Bilinen kusurları kötüye kullanmak
Spear-phishing e-postaları genellikle kurbanları silah haline getirilmiş ISO dosyalarını indirmeye ikna etmek için tasarlanmış sahte iş uygulamalarıdır. Bu dosyalar, Ctealer veya Cucky’yi (özel yapım bilgi hırsızları) dağıtmak için CVE-2017-0199 (Office/WordPad uzaktan kod yürütme güvenlik açığı) olarak izlenen bilinen yüksek önem dereceli bir güvenlik açığını kötüye kullanır. Bunlar daha sonra TelePowerBot adlı bir kayıt defteri implantını konuşlandıracaktı.
Komutları okumak ve yürütmek için tasarlanmış KamiKakaBot’u dağıtan ayrı bir yöntem gözlemlendi.
Hem Cucky hem de Ctealer, günümüzün popüler tarayıcılarının çoğundan (ve bazılarından) parolaları, tarama geçmişini, kayıtlı kimlik bilgilerini ve çerezleri çalmak için tasarlanmıştır. Ayrıca grup, virüslü cihazlara bağlı mikrofonlar aracılığıyla mesajlaşma uygulamalarına erişebiliyor, belgeleri çalabiliyor ve ses kaydı alabiliyor.
“Bulaşma sırasında, tehdit aktörleri, virüs bulaşan cihaza hangi ağ kaynaklarının bağlı olduğunu belirlemek için birkaç standart komut (örn. net share, Get-SmbShare) yürütür. Ağ diski kullanımı bulunursa, ilgilerini çekebilecek dosyaları bulmak için bu diski keşfetmeye başlayacaklar ve potansiyel olarak onları sızdıracaklar,” diye açıklıyor Group-IB.
Araştırmacılar, 2022’nin ikinci yarısında grubun en az yedi başarılı saldırı düzenlediğini iddia ediyor.
(Saldırıların onaylandığı) yedi kuruluşun tümü saldırıdan haberdar edildi ve nasıl ilerleyeceklerine dair ipuçları verildi. Araştırmacılar, grubun daha da fazla sayıda organizasyonu tehlikeye atmış olma ihtimalinin yüksek olduğunu, ancak doğrulamaların henüz gelmediğini belirtiyor.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)