Araştırmacılar, 50’den fazla antivirüsten saklanabilen yeni bir kötü amaçlı yazılım örneği keşfettiler (yeni sekmede açılır) şu anda piyasada bulunan ürünler.
Kötü amaçlı yazılım, Palo Alto Networks’teki tehdit istihbarat ekibi olan Unit 42’den siber güvenlik araştırmacıları tarafından keşfedildi. Ekip, türü ilk olarak Mayıs ayında Brute Ratel (BRC4) aracı kullanılarak yapıldığını keşfettiğinde fark etti.
BRC4’ün geliştiricileri, araçlarının algılanmasını önlemek için tersine mühendislikle popüler antivirüs ürünlerine sahip olduklarını iddia ediyor.
Tasarımın kalitesi ve kurbanların uç noktaları arasında dağıtılma hızı, araştırmacıları kampanyanın arkasında devlet destekli bir aktörün olduğuna ikna etti.
Rus yöntemleri
Aracın kendisi tehlikeli olsa da, araştırmacılar, devlet destekli bir aktörün oyunda olduğunu gösteren dağıtım yolu ile daha fazla ilgileniyorlardı.
Kötü amaçlı yazılım, sahte bir CV belgesi şeklinde dağıtılıyor. CV, sanal bir sürücüye monte edildikten sonra bir Microsoft Word belgesine benzeyen bir şey görüntüleyen bir ISO dosyasıdır.
Araştırmacılar, BRC4’ün arkasındaki tehdit aktörünün tam olarak kim olduğunu hala tam olarak belirleyemese de, geçmişte silahlı ISO’ları kullanan Rus merkezli APT29’dan (AKA Cozy Bear) şüpheleniyorlar.
Devlet destekli bir aktörün oyunda olduğunu gösteren başka bir ipucu, BRC4’ün kaldıraç hızıdır. ISO, BRC4’ün en son sürümünün yayınlandığı gün oluşturuldu.
Unit 42 bir blog yazısında, “Bu blogda açıklanan iki örneğin analizi ve bu yükleri paketlemek için kullanılan gelişmiş ticaret araçları, kötü niyetli siber aktörlerin bu yeteneği benimsemeye başladığını açıkça ortaya koyuyor” dedi.
“Tüm güvenlik sağlayıcılarının BRC4’ü tespit etmek için korumalar oluşturmasının ve tüm kuruluşların bu araca karşı savunmak için proaktif önlemler almasının zorunlu olduğuna inanıyoruz.”
Aracılığıyla: Kayıt (yeni sekmede açılır)