Daha önce belgelenmemiş bir tehdit aktörü olarak adlandırılan Yoro Trooper en az Haziran 2022’den beri aktif olan bir siber casusluk kampanyasının bir parçası olarak Avrupa genelinde hükümeti, enerjiyi ve uluslararası kuruluşları hedef alıyor.
Cisco Talos araştırmacıları Asheer Malhotra ve Vitor Ventura, “Başarılı güvenlik ihlallerinden çalınan bilgiler arasında birden fazla uygulamadan kimlik bilgileri, tarayıcı geçmişleri ve çerezler, sistem bilgileri ve ekran görüntüleri yer alır.” söz konusu Salı analizinde.
Hedeflenen önemli ülkeler arasında Azerbaycan, Tacikistan, Kırgızistan, Türkmenistan ve diğer Bağımsız Devletler Topluluğu (BDT) ülkeleri bulunmaktadır.
Tehdit aktörünün, mağduriyet kalıpları ve bazı implantlardaki Kiril parçacıklarının varlığı nedeniyle Rusça konuştuğuna inanılıyor.
Bununla birlikte, YoroTrooper izinsiz giriş setinin, ŞairRAT ekibi 2020’de Azerbaycan’da hükümet ve enerji sektörlerini vurmak için koronavirüs temalı yemlerden yararlandığı belgelendi.
YoroTrooper’ın veri toplama hedefleri, emtia ve açık kaynaklı hırsız kötü amaçlı yazılımların bir kombinasyonu aracılığıyla gerçekleştirilir. Meryem Ana (aka Warzone RAT), LodaRAT, Meterpreter ve kokuşmuşhedef odaklı kimlik avı yoluyla yayılan ZIP veya RAR arşivlerine sarılmış kötü amaçlı kısayol dosyaları (LNK’ler) ve sahte belgeler kullanan bulaşma zincirleriyle.
LNK dosyaları, bir dosyayı çalıştırmak için basit indiriciler olarak işlev görür. HTA dosyası uzak bir sunucudan alındı ve daha sonra sahte bir PDF belgesini görüntülemek için kullanılırken, Telegram’ı bir sızma kanalı olarak kullanan özel bir hırsızı teslim etmek için gizlice bir damlalık başlattı.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
LodaRAT’ın kullanımı, kötü amaçlı yazılımın Kasablanka adlı başka bir grupla ilişkilendirilmesine rağmen birden çok operatör tarafından kullanıldığını gösterdiği için dikkat çekicidir. Ave Maria’yı dağıtmak Rusya’yı hedefleyen son kampanyalarda.
YoroTrooper tarafından dağıtılan diğer yardımcı araçlar, ters kabuklardan ve tuş vuruşlarını kaydedebilen ve bunları diskteki bir dosyaya kaydedebilen C tabanlı özel bir keylogger’dan oluşur.
Araştırmacılar, “Bu kampanyanın Ave Maria ve LodaRAT gibi emtia kötü amaçlı yazılımlarının dağıtımıyla başlamasına rağmen, Python tabanlı kötü amaçlı yazılımları içerecek şekilde önemli ölçüde geliştiğini belirtmekte fayda var” dedi.
“Bu, muhtemelen kampanya süresince başarılı ihlallerden elde edilen, tehdit aktörünün ortaya koyduğu çabalardaki artışı vurguluyor.”