Güvenlik araştırmacıları, tehdit aktörünün temel bir operasyonel güvenlik hatası nedeniyle Styx Stealer adı verilen yeni ve karmaşık bir kötü amaçlı yazılım aracının yaratıcısı hakkında değerli bilgiler toplayabildiler.
Bu hata, Check Point Research’ten (CPR) araştırmacıların kötü amaçlı yazılım yazarını Türkiye’de faaliyet gösteren ve hala kullanılan en eski ve en üretken bilgi hırsızlarından biri olan Agent Tesla kampanyasının operatörüyle bağlantıları olan bir birey olarak tanımlamasına olanak sağladı. Bu hata ayrıca araştırmacıların kötü amaçlı yazılım geliştiricisinin Telegram hesapları, kişileri, e-postaları ve kripto para transferleri dahil olmak üzere diğer kişisel bilgileri iki aylık bir süre boyunca toplamasına olanak sağladı ve Styx Stealer ve ayrı bir şifreleme aracı satın alanlardan toplamda yaklaşık 9.500 dolar topladı.
Tesadüfi Bir OpSec Başarısızlığı
“Styx Stealer’ın hata ayıklaması sırasında geliştirici ölümcül bir hata yaptı ve bilgisayarından veri sızdırdı,” diye yazdı CPR araştırmacısı Alexey Bukhteyev yakın zamanda yazdığım bir blog yazısında” .[This] CPR’nin, müşteri sayısı, kâr bilgileri, takma adlar, telefon numaraları ve e-posta adresleri gibi Agent Tesla kampanyasının arkasındaki aktör hakkında da benzer veriler içeren büyük miktarda istihbarat elde etmesine olanak sağladı.”
Tehdit aktörlerinin operasyonel güvenlik açıkları yoluyla istemeden kendilerini ifşa etmeleri nadir de olsa hala gerçekleşiyor. Ve bunu yaptıklarında, güvenlik araştırmacıları bu hatalardan yararlanmak ve tehdit aktörünün taktikleri, teknikleri ve prosedürleri hakkında mümkün olduğunca fazla ayrıntı toplamak için hızlı davranıyorlar.
Tehdit aktörleri düzenli olarak kendi keşiflerini destekler. Geçtiğimiz yıl Mandiant, bir güvenlik gözetimi tehdidin Kuzey Kore’deki gerçek IP adresini açığa çıkardıktan sonra, kurumsal dizin hizmeti sağlayıcısı JumpCloud’a yapılan bir saldırıyı Kuzey Kore’nin Lazarus Group’una bağlayabilmişti. Benzer hatalar — bu durumda, bir fidye yazılımı saldırısından sonra düzgün bir şekilde temizlememek — izin verilen Secureworks İran tehdit grubu Cobalt Mirage’ın arkasındaki kişileri ve şirketleri ifşa etmek için. 2021’de IBM’in X-Force tehdit istihbarat grubundaki araştırmacılar değerli bilgiler toplandı İran’ın “Charming Kitten” siber casusluk grubunun çok sayıda operasyonel güvenlik hatası nedeniyle kapatıldığı bildirildi.
Parçaları Birleştirmek
CPR araştırmacıları, geçen Mart ayında bir spam kampanyasından kurtardıkları Agent Tesla’yı içeren kötü amaçlı bir dosyayı analiz ederken Styx Stealer’ın yazarı hakkında ilk ipuçlarını elde ettiler. Kötü amaçlı yazılımı, veri sızdırma için Telegram’ın Bot API’sini kullanarak buldular ve Telegram bot belirtecini ondan çıkarmayı başardılar. Bu, CPR araştırmacılarının tehdit aktörünün Telegram botunu izlemesine olanak sağladı.
Bu da “Styx Stealer” başlıklı bir belge ve “PhemedroneStealer” adlı bir proje üzerinde çalışan ve “Styx-Stealer.exe” başlıklı bir işlemi hata ayıklayan birinin Visual Studio’da çalıştığını gösteren bir ekran görüntüsü içeren kötü amaçlı bir arşiv dosyasının keşfedilmesine yol açtı. Projedeki program dosyası, CPR araştırmacılarının Agent Tesla örneğinden çıkardığıyla aynı olan sabit kodlanmış bir Telegram bot belirteci ve sohbet kimliği içeriyordu.
Araştırmacılar oradan çalışarak, sonunda Styx Stealer’ın yazarının Sty1x kullanıcı adını ve birkaç farklı e-posta adresi ve telefon numarası kullanan Türkiye merkezli bir birey olduğunu tespit etmelerine yol açan bilgileri bir araya getirebildiler. Analizleri, Sty1x’in Nijerya, Lagos’ta bulunan @Mack_Sant kullanıcı adını kullanan bir bireyle çalıştığını gösterdi. İkili arasındaki yazışmalar, Sty1x’in Styx Stealer’ın başlangıçta Styx Stealer’a özgü bir Telegram botu ve ardından Agent Tesla botu kullanarak veri sızdırma yeteneğini test etmek için @Mack_Sant’ı kullandığını gösterdi.
Araştırmacıların her iki bireyin bilgisayarlarından kurtarabildikleri ve @Mack_Sant’in Sty1x’e gönderdiği bir telefon ve dizüstü bilgisayarın fotoğraflarında görülebilen veriler, ilkinin CPR’nin Mart ayında araştırdığı Agent Tesla kampanyasının operatörü olduğunu gösterdi. “Ayrıca, @Mack_Sant’in (aynı zamanda @Fucosreal olarak da bilinir) bu botun sahibi ve Agent Tesla kampanyasının yaratıcısı olduğuna dair şüphelerimizi tamamen doğrulayan Agent Tesla raporlarının bir ekran görüntüsünü de görüyoruz,” diye yazdı Bukhteyev.
Akıllıca Bir Bilgi Hırsızı
Styx Stealer, araştırmacıların hedefli saldırılarda kullanıldığını gözlemlediği bir kötü amaçlı yazılım aracı olan “Phemedrone Stealer” ile ilişkili erken sürüm koduna dayanan bir bilgi hırsızıdır. CVE-2023-36025bu yılın başlarında ortaya çıkan bir Windows Defender SmartScreen güvenlik açığı.
Kötü amaçlı yazılım, Chromium tabanlı tarayıcılardaki tarayıcı uzantılarından, kripto para cüzdanlarından ve “Belgelerim” ve “Masaüstü” klasörlerindeki dosyalardan veri çalıyor. Ayrıca konum ve sistem verilerini elde edip Discord, Telegram ve Steam oturumlarını çalabiliyor, dedi CPR. Birçok kötü amaçlı yazılım aracı gibi, Styx Stealer da belirli süreçleri kontrol edip sonlandıran ve sanal bir makinede çalışıp çalışmadığını belirleyen özellikler de dahil olmak üzere birden fazla karartma ve algılama kaçınma özelliği içeriyor. Kötü amaçlı yazılım, Rusya, Ukrayna, Kazakistan, Moldova, Belarus ve Azerbaycan dahil olmak üzere belirli ülkelerde çalışmayacak şekilde tasarlanmıştır.
Bukhteyev, “Styx Stealer vakası, karmaşık siber suç operasyonlarının bile temel güvenlik ihmalleri nedeniyle nasıl başarısızlığa uğrayabileceğinin çarpıcı bir örneğidir” dedi.