Siber güvenlik araştırmacıları, hükümet, havacılık, eğitim ve telekom firmalarını hedef alan yeni tehdit aktörleri tespit etti.
A rapor (yeni sekmede açılır) Symantec’ten Lancefly adını verdikleri bir grubun, yukarıda belirtilen kuruluşları hedef almak için özel bir kötü amaçlı yazılım parçası kullandığı tespit edildi. Lancefly, araştırmacılara göre en az 2018’den beri dolaşımda olan Merdoor adlı özel bir bilgi hırsızı kullanıyor. 2022 ve 2023’e kadar devam etti.
Symantec’in uzmanları, saldırganların Merdoor ile geniş bir ağ kurmadıklarını, ancak hedefleri konusunda oldukça seçici olduklarını iddia ediyor. “Sadece az sayıda makine [are] bulaştı” dediler.
Merdoor kötü amaçlı yazılımı
Merdoor, kendisini bir hizmet olarak kurma, keylogging, C2 sunucusuyla farklı iletişim araçları (HTTP, HTTPS, DNS, vb.)
Önceki kampanyalardan elde edilen kanıtlar, Lancefly’ın arka kapıyı uç noktalara dağıtmak için klasik kimlik avı tekniklerini kullandığını gösteriyor. (yeni sekmede açılır)Araştırmacılar, bu özel kampanya için enfeksiyon vektörünün net olmadığını söyledi. Bir örnekte, saldırganlar SSH kaba kuvvet kullanmış gibi görünüyor. Başka bir örnekte, erişim için bir yük dengeleyiciden yararlanılmış olabilir.
Araştırmacılar, “Bu enfeksiyon vektörlerinden herhangi biri için kanıtlar kesin olmasa da, Lancefly’ın kullandığı enfeksiyon vektörlerinin türüne gelince uyarlanabilir olduğunu gösteriyor gibi görünüyor” dedi.
Araştırmacılar Çinli olabileceklerini öne sürse de, grubun kimliği bir sır olarak kalıyor. Lancefly, kampanyalarında “Wemade Entertainment Co. Ltd” sertifikası ile imzalanan ZXSHell rootkit’i kullanmaktadır. Bu sertifika, Çinli bir tehdit aktörü olan Blackfly (AKA APT41) ile bağlantılıdır. Ancak bu grup, sertifikalarını diğer tehdit aktörleriyle paylaşmasıyla biliniyor.
Grup nereli olursa olsun, kesin olan bir şey var – kampanyasının amacı casusluk ve istihbarat toplamak.