Tibetli, Uygurlu ve Tayvanlı bireyler ve kuruluşlar, kod adlı bir tehdit aktörünün düzenlediği ısrarlı bir kampanyanın hedefidir. KötüBambu hassas bilgileri toplamak için.
Volexity güvenlik araştırmacıları Callum Roxan, Paul Rascagneres ve Thomas Lancaster, “Saldırgan, muhtemelen hedeflenen kullanıcılara karşı tarayıcı tabanlı saldırılar uygulamak için kullanılan sosyal medya profillerinin yanı sıra sahte Tibet web siteleri de oluşturdu.” dedi. rapor geçen hafta yayınlandı.
“Saldırgan, kısmen mevcut popüler toplulukların kimliğine bürünerek, kötü amaçlı yazılımlarının dağıtımına yardımcı olmak için Telegram gibi çevrimiçi platformlarda topluluklar oluşturdu.”
Daha önce siber güvenlik firması tarafından Evil Eye adı altında takip edilen EvilBamboo, birden fazla saldırı dalgasıyla ilişkilendirildi en az 2019’dan beriTehdit aktörü, Android ve iOS cihazlarını hedef alan casus yazılımlar sunmak için sulama deliği saldırılarından yararlanıyor. Aynı zamanda Toprak Empusa ve ZEHİRLİ SAZA olarak da bilinir.
Apple mobil işletim sistemine yönelik izinsiz girişler, WebKit tarayıcı motorunda, Insomnia adı verilen bir casus yazılım türünü yaymak için 2019’un başlarında Apple tarafından yamalanan sıfırıncı gün güvenlik açığından yararlandı. Meta, Mart 2021’de, tehdit aktörünün, kötü amaçlı yazılım barındıran kötü amaçlı web sitelerini dağıtmak için platformlarını kötüye kullandığını tespit ettiğini söyledi.
Grubun ayrıca üçüncü taraf uygulama mağazalarında sunulan sözlük, klavye ve dua uygulamaları kisvesi altında ele geçirilen cihazlardan değerli verileri toplamak için ActionSpy ve PluginPhantom gibi Android kötü amaçlı yazılımlarını kullandığı da biliniyor.
Volexity’nin son bulguları, EvilBamboo’nun BADBAZAAR, BADSIGNAL ve BADSOLAR adlı üç yeni Android casusluk aracına atfedildiğini gösteriyor. Bunlardan ilki, Kasım 2022’de Lookout tarafından belgelendi.
ESET’in geçen ayki bir raporunda, kullanıcıları BADSIGNAL yüklemeye ikna etmek için Google Play Store’da Signal ve Telegram kılığına giren iki truva atı uygulamasının ayrıntıları verildi. Slovak siber güvenlik firması, kod benzerliklerini öne sürerek sahte kodu BADBAZAAR ailesine devrederken Volexity, “geliştirilmeleri ve işlevleri açısından da farklı göründüklerini” söyledi.
Kötü amaçlı yazılım ailelerini dağıtmak için kullanılan saldırı zincirleri, APK paylaşım forumlarının, Signal, Telegram ve WhatsApp reklamı yapan sahte web sitelerinin, Android uygulamalarını paylaşmaya ayrılmış Telegram kanallarının ve bir dizi uygulamanın kullanımını gerektirir. sahte profiller Facebook, Instagram, Reddit, X (eski adıyla Twitter) ve YouTube’da.
Araştırmacılar, “Telegram varyantları, cihazdan bilgi toplamak için Signal varyantlarıyla aynı API uç noktalarını uyguluyor ve bir proxy uyguluyorlar” dedi ve BADSIGNAL’in bir iOS sürümünün varlığını gösteren uç noktalar belirlediğini ekledi.
Telegram kanallarından birinin, artık Apple App Store’da bulunmayan TibetOne adlı bir iOS uygulamasına bağlantı içerdiği de söyleniyor.
Yapay Zekayla Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Telegram grupları aracılığıyla paylaşılan mesajlar, BADSOLAR kötü amaçlı yazılımıyla arka kapıya kapatılan uygulamaları ve ziyaret edildiğinde sistemin profilini çıkarmak ve parmak izini çıkarmak için kötü amaçlı JavaScript çalıştıran bubi tuzaklı bağlantıları dağıtmak için de kullanıldı.
BADBAZAAR esas olarak Uygurları ve Müslüman inancına sahip diğer bireyleri hedeflemek için kullanılırken, BADSOLAR’ın öncelikle Tibet temalı uygulamalarla kullanıldığı görülüyor. Bununla birlikte, her iki tür de kötü amaçlı yeteneklerini uzak bir sunucudan alınan ikinci bir aşama biçiminde birleştirir.
BADSOLAR’ın ikinci aşama kötü amaçlı yazılımı aynı zamanda açık kaynaklı bir Android uzaktan erişim truva atının bir çatalıdır. AndroRAT. BADSIGNAL ise tüm bilgi toplama işlevlerini ana paketin kendisinde topluyor.
Araştırmacılar, “Bu kampanyalar büyük ölçüde kullanıcıların arka kapılı uygulamalar yüklemesine dayanıyor; bu da hem yalnızca güvenilir yazarların uygulamalarını yüklemenin önemini hem de arka kapılı uygulamaların resmi uygulama mağazalarına ulaşmasını engelleyecek etkili güvenlik mekanizmalarının eksikliğini vurguluyor” dedi.
“EvilBamboo’nun sahte web siteleri ve hedefledikleri belirli gruplara göre uyarlanmış kişiler oluşturması, operasyonlarının önemli bir yönü oldu ve bireyleri casus yazılımlarıyla veya diğer istismarlarla hedeflemek için daha fazla yol sağlayan güvenilir topluluklar oluşturmalarına olanak sağladı.”