Asya’daki nakliye şirketleri ve tıbbi laboratuvarlar, daha önce hiç görülmemiş bir tehdit aktörü tarafından yürütülen şüpheli bir casusluk kampanyasının konusu oldu. hidrogazma.
Ekim 2022’den beri devam eden faaliyet, Broadcom Software tarafından yazılan Symantec, “yalnızca halka açık ve arazi dışında yaşayan araçlara dayanıyor”, söz konusu The Hacker News ile paylaşılan bir raporda.
Bilinen tehdit aktörleriyle kökenini veya ilişkisini belirlemek için henüz bir kanıt yok, ancak siber güvenlik şirketi, grubun COVID-19 ile ilgili tedaviler veya aşılarla ilgili sektör dikeyleriyle ilgileniyor olabileceğini söyledi.
Kampanyanın göze çarpan yönleri, tehdit aktörünün istihbarat toplamak için açık kaynak araçları kullanması ile veri hırsızlığının ve özel kötü amaçlı yazılımın olmamasıdır. Halihazırda mevcut araçları kullanarak, görünen o ki amaç, yalnızca ilişkilendirme çabalarını karıştırmak değil, aynı zamanda saldırıları daha gizli hale getirmek.
Bulaşma zincirinin başlangıcı büyük olasılıkla, başlatıldığında makineye ilk erişim sağlayan özgeçmiş temalı bir yem belgesi içeren bir kimlik avı mesajıdır.
Oradan, saldırganların Fast Reverse Proxy (CTP), Meterpreter, Cobalt Strike Beacon, fscan, TarayıcıGhostVe Gost vekil.
Araştırmacılar, “Hydrochasma tarafından konuşlandırılan araçlar, kurban makinelere kalıcı ve gizli erişim elde etme arzusunun yanı sıra ayrıcalıkları artırma ve kurban ağları arasında yatay olarak yayılma çabasını gösteriyor” dedi.
Hacking grupları tarafından FRP’nin kötüye kullanımı iyi belgelenmiştir. Ekim 2021’de Positive Technologies, güvenliği ihlal edilmiş ana bilgisayarları kontrol etmek için aracı kullanmayı içeren ChamelGang tarafından düzenlenen saldırıları açıkladı.
Ardından geçen Eylül ayında AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) açıkta Düşmanın kaynağını gizlemek için zaten güvenliği ihlal edilmiş sunuculardan uzaktan erişim sağlamak için FRP’den yararlanan Güney Koreli şirketleri hedef alan saldırılar.
Hydrochasma, son aylarda ısmarlama kötü amaçlı yazılımlardan tamamen kaçınan tek tehdit aktörü değil. Buna, Afrika’daki Frankofon ülkelerini hedef alan izinsiz girişlerde arazi dışında yaşayan, çift kullanımlı araçlar ve emtia kötü amaçlı yazılımlarından kapsamlı bir şekilde yararlanan OPERA1ER (namı diğer Bluebottle) adlı bir siber suç grubu dahildir.