Bir siber casus birliği AB’de üst düzey hedeflere saldırıyor

Tehdit aktörü YoroTrooper, kritik AB sağlık kuruluşlarının, bir dizi büyükelçiliğin ve Dünya Fikri Mülkiyet Örgütü’nün (WIPO) hesaplarını ele geçirdi.

A rapor Cisco Talos’tan (üzerinden BleepingBilgisayar), kimlik bilgileri, çerezler ve tarayıcı geçmişleri gibi çok miktarda verinin virüslü bir dizi uç noktadan çalındığını ortaya çıkardı.

Bunlar, Avrasya’nın Bağımsız Devletler Topluluğu’nun (BDT) bir parçası olan ülkelerin devlet kurumlarına ve enerji şirketlerine ait olanları içerir.

YoroTrooper’ın benzersiz tehdit etkinliği

BleepingComputer, YoroTrooper’ın daha önce PoetRAT ve LodaRAT gibi bilinen kötü amaçlı yazılımları yaydığının bilinmesine rağmen, Cisco işi tamamlamak için Python’da yazılmış kendi Uzaktan Erişim Truva Atlarını (RAT’ler) tasarlamaya geçtiğini düşünüyor.

2022 yazında Belarus kuruluşları, Beyaz Rusya veya Rusya’dan kuruluşlar olduğu iddia edilen e-posta etki alanlarından gönderilen virüslü PDF dosyaları tarafından vuruldu. O yılın Eylül ayında YoroTrooper, yazım hatası yapan alan adlarını Rus devlet kurumlarıyla mümkün olduğunca benzer görünecek şekilde kaydettirdi.

Bu stratejinin kökleri, YoroTrooper’ın mümkün olduğu kadar meşru görünme ihtiyacı duyan kimlik avı e-postalarına dayanmaktadır, özellikle de son hilesi, bölgedeki ulusal güvenlik bilgilerine erişim elde etmek için virüslü RAR ve ZIP ekleri eklemeyi içerdiğinden.

2023’te tehdit grubu hızlı hareket etti. Ocak ayında, Chromium tabanlı tarayıcılardan kimlik bilgilerini çıkaran bir bilgi hırsızı komut dosyası yayınlamaya başladı, ancak Şubat ayında zaten ‘Stink’ adlı yeni bir modüler araca geçmişti.

Yeni araç, Chromium tarayıcı sızması ve temel sistem bilgilerine ek olarak FTP istemcisi Filezilla ve mesajlaşma uygulamaları Anlaşmazlık ve Telgraf.

YoroTrooper’ın nedenleri, araçları ve destekçileri şu anda bilinmiyor, ancak özel araçlara geçiş, kurumsal dünya için endişe verici bir gelişme olabilir.

• İşte listemiz en iyi güvenlik duvarları Şu anda