Asya’daki Materyal Araştırma Kuruluşlarını Hedefleyen Yeni Hacking Kümesi ‘Clasiopa’

23 Şubat 2023Ravie LakshmananKötü Amaçlı Yazılım / Tehdit Intel

Asya’daki malzeme araştırma kuruluşları, farklı bir dizi araç kullanarak önceden bilinmeyen bir tehdit aktörü tarafından hedef alındı.

Broadcom Software tarafından geliştirilen Symantec, kümeyi takma adla izliyor Clasiopa. Hacking grubunun kökenleri ve bağlantıları şu anda bilinmiyor, ancak düşmanın Hindistan ile bağları olabileceğine dair ipuçları var.

Bu, özel bir arka kapıdaki “SAPTARISHI-ATHARVAN-101” referanslarını ve bir ZIP arşivi için “iloveindea1998^_^” parolasının kullanımını içerir.

Bunu belirtmekte fayda var SaptarişiSanskritçe’de “Yedi bilge” anlamına gelen , Hindu edebiyatında saygı duyulan bir grup kahin anlamına gelir. Atharvan eski bir Hindu rahibiydi ve dört kitaptan birinin ortak yazarı olduğuna inanılıyor. VedalarHinduizm’deki dini yazıların bir koleksiyonu.

Symantec yaptığı açıklamada, “Bu ayrıntılar grubun Hindistan’da yerleşik olduğunu gösteriyor olsa da, bilgilerin yanlış bayraklar olarak ekilmiş olması da oldukça muhtemeldir, özellikle parola fazlasıyla bariz bir ipucu gibi görünmektedir” dedi. rapor The Hacker News ile paylaştı.

Siber saldırıların internete bakan sunuculardaki kaba kuvvet saldırılarından yararlandığından şüphelenilse de, ilk erişimin kesin yolu da belirsiz.

İzinsiz girişlerin temel özelliklerinden bazıları, sistem monitörünü (Sysmon) ve olay günlüklerini temizlemenin yanı sıra, hassas bilgileri toplamak ve dışarı sızdırmak için Atharvan ve açık kaynak Lilith RAT’ın değiştirilmiş bir sürümü gibi çoklu arka kapıların konuşlandırılmasını içerir.

Atharvan ayrıca, dosyaları almak ve virüslü ana bilgisayarda rasgele çalıştırılabilir dosyaları çalıştırmak için sabit kodlu bir komut ve kontrol (C&C) sunucusuyla iletişim kurabilir.

Şirket, “Bugüne kadar analiz edilen örneklerden birinde görülen sabit kodlu C&C adresleri, C&C altyapısı için ortak bir konum olmayan Amazon AWS Güney Kore (Seul) bölgesi içindi” dedi.

Açıklama, siber güvenlik firmasının, Asya’daki nakliye şirketlerini ve tıbbi laboratuvarları hedef aldığı gözlemlenen Hydrochasma olarak bilinen, şimdiye kadar belgelenmemiş başka bir tehdit grubunu örtbas etmesinden bir gün sonra geldi.