Asya-Pasifik (APAC) ve Orta Doğu ve Kuzey Afrika’daki (MENA) finansal kuruluşlar, “gelişen tehdidin” yeni bir versiyonu tarafından hedefleniyor. JSOutProx.
Resecurity, “JSOutProx, hem JavaScript hem de .NET’i kullanan gelişmiş bir saldırı çerçevesidir” söz konusu Bu hafta yayınlanan teknik bir raporda.
“Kurbanın makinesinde çalışan çekirdek JavaScript modülüyle etkileşim kurmak için .NET serileştirme özelliğini kullanıyor. Kötü amaçlı yazılım bir kez çalıştırıldığında çerçevenin, hedefte ek kötü amaçlı faaliyetler gerçekleştiren çeşitli eklentileri yüklemesine olanak tanıyor.”
Birinci tanımlanmış Aralık 2019’da Yoroi tarafından JSOutProx’u dağıtan ilk saldırılar, şu şekilde takip edilen bir tehdit aktörüne atfedildi: Güneş Örümcek. Operasyonlar, Asya ve Avrupa’daki grev yapan bankaların ve diğer büyük şirketlerin kayıtlarını takip ediyor.
2021’in sonlarında Quick Heal Güvenlik Laboratuvarları detaylı Hindistan’daki küçük finans bankalarının çalışanlarını ayırmak için uzaktan erişim truva atını (RAT) kullanan saldırılar. Diğer kampanya dalgaları hedef aldı Hindistan devlet kurumları Nisan 2020’ye kadar.
Saldırı zincirlerinin, yoğun şekilde gizlenmiş implantı dağıtmak için, PDF’ler gibi görünen kötü amaçlı JavaScript ekleri içeren hedef odaklı kimlik avı e-postalarından ve hileli HTA dosyaları içeren ZIP arşivlerinden yararlandığı bilinmektedir.
Quick Heal, “Bu kötü amaçlı yazılımın veri sızdırma, dosya sistemi işlemlerini gerçekleştirme gibi çeşitli işlemleri gerçekleştirmek için çeşitli eklentileri var.” kayıt edilmiş [PDF] o zaman. “Bunun dışında, çeşitli operasyonları gerçekleştiren, saldırı yeteneklerine sahip çeşitli yöntemleri de var.”
Eklentiler, güvenliği ihlal edilmiş ana bilgisayardan çok çeşitli bilgileri toplamasına, proxy ayarlarını kontrol etmesine, pano içeriğini yakalamasına, Microsoft Outlook hesap ayrıntılarına erişmesine ve Symantec VIP’den tek seferlik şifreler toplamasına olanak tanır. Kötü amaçlı yazılımın benzersiz bir özelliği, komut ve kontrol (C2) iletişimleri için Çerez başlık alanını kullanmasıdır.
JSOutProx ayrıca JavaScript’te uygulanan tamamen işlevsel bir RAT olduğu gerçeğini de ifade eder.
Fortinet FortiGuard Labs “JavaScript, PE dosyası kadar esneklik sunmuyor” söz konusu Aralık 2020’de yayınlanan bir raporda, Asya’daki hükümetin para ve finans sektörlerine yönelik bir kampanya anlatılıyor.
“Ancak, JavaScript birçok web sitesi tarafından kullanıldığından, temel güvenlik bilgisine sahip kişilere .exe ile biten ekleri açmaktan kaçınmaları öğretildiğinden, çoğu kullanıcıya zararsız görünmektedir. Ayrıca, JavaScript kodu gizlenebildiği için antivirüs yazılımını kolayca atlar tespit edilmeden filtrelenmesine izin veriyor.”
Resecurity tarafından belgelenen en son saldırılar, e-posta alıcılarını kötü amaçlı kodu çalıştırmaları için kandırmak amacıyla sahte SWIFT veya MoneyGram ödeme bildirimlerinin kullanılmasını içeriyor. Faaliyetin 8 Şubat 2024’ten itibaren bir artışa tanık olduğu söyleniyor.
Eserlerin, o zamandan beri engellenen ve kaldırılan GitHub ve GitLab depolarında barındırıldığı gözlemlendi.
Siber güvenlik şirketi, “Kötü amaçlı kod başarılı bir şekilde teslim edildikten sonra, aktör depoyu kaldırır ve yeni bir tane oluşturur” dedi. “Bu taktik muhtemelen aktörün birden fazla kötü amaçlı veriyi yönetmek ve hedefleri ayırt etmek için kullandığı bir taktiktir.”
Resecurity, kötü amaçlı yazılımın arkasındaki e-suç grubunun kesin kökenlerinin şu anda bilinmemesine rağmen, saldırıların mağdur dağılımı ve implantın karmaşıklığı bunların Çin menşeli veya onunla bağlantılı olduğunu ima ediyor.
Bu gelişme, siber suçluların karanlık ağda GEOBOX adı verilen yeni yazılımın tanıtımını yaptığı sırada ortaya çıkıyor. Raspberry Pi cihazları Dolandırıcılık ve anonimleştirme yapmak için.
Aylık yalnızca 80 ABD Doları (veya ömür boyu lisans için 700 ABD Doları) karşılığında sunulan araç, operatörlerin GPS konumlarını taklit etmesine, belirli ağ ve yazılım ayarlarını taklit etmesine, bilinen Wi-Fi erişim noktalarının ayarlarını taklit etmesine ve ayrıca dolandırıcılık önleme filtrelerini atlamasına olanak tanır. .
Bu tür araçlar, devlet destekli saldırılar, kurumsal casusluk, karanlık web pazarı operasyonları, mali dolandırıcılık, kötü amaçlı yazılımların anonim dağıtımı ve hatta coğrafi sınırlamayla korunan içeriğe erişim gibi geniş bir suç yelpazesine kapı açtığından ciddi güvenlik etkilerine sahip olabilir.
Resecurity, “GEOBOX’a erişim kolaylığı, siber güvenlik topluluğu içinde onun çeşitli tehdit aktörleri arasında yaygın şekilde benimsenme potansiyeli konusunda önemli endişelere yol açıyor.” söz konusu.