JSOutProx olarak bilinen karmaşık bir JavaScript uzaktan erişim Truva Atı’nın (RAT) arkasındaki gelişmiş tehdit grubu, Orta Doğu’daki kuruluşları hedef alan kötü amaçlı yazılımın yeni bir sürümünü yayınladı.
Siber güvenlik hizmetleri firması Resecurity, bu hafta yayınlanan bir raporda, JSOutProx kötü amaçlı yazılımının finansal müşterileri hedef aldığı ve bir kuruluşu hedefliyorsa sahte bir SWIFT ödeme bildirimi ya da özel vatandaşları hedef alıyorsa bir MoneyGram şablonu gönderdiğini içeren çok sayıda olayın teknik ayrıntılarını analiz ettiğini yazdı. Tehdit grubu Hindistan ve Tayvan’daki hükümet kuruluşlarının yanı sıra Filipinler, Laos, Singapur, Malezya ve Hindistan’daki finans kuruluşlarını da hedef aldı. Suudi Arabistan.
Resecurity CEO’su Gene Yoo, JSOutProx’un en yeni sürümünün, geliştirme açısından bakıldığında çok esnek ve iyi organize edilmiş bir program olduğunu ve saldırganların işlevselliği kurbanın özel ortamına göre uyarlamasına olanak tanıdığını söylüyor.
“Bu, birden fazla aşamadan oluşan bir kötü amaçlı yazılım yerleştirmesi ve birden fazla eklentisi var” diyor. “Kurbanın ortamına bağlı olarak, doğrudan içeri giriyor ve hangi eklentilerin etkinleştirildiğine bağlı olarak aslında onların kanını akıtıyor veya çevreyi zehirliyor.”
Saldırılar, JSOutProx kötü amaçlı yazılımını kullanan tek grup gibi görünen Solar Spider olarak bilinen bir siber suç grubunun gerçekleştirdiği son kampanyadır. Grubun hedeflerine göre – genellikle Hindistan’daki kuruluşlar, aynı zamanda Asya-Pasifik, Afrika ve Orta Doğu bölgeleri — muhtemelen Çin ile bağlantılıdır, Analizinde belirtilen güvenlik.
Yoo, “Hedeflerin profilini çıkararak ve altyapıdan elde ettiğimiz bazı ayrıntıların Çin ile ilgili olduğundan şüpheleniyoruz” diyor.
“Son Derece Karmaşık … Modüler Eklenti”
JSOutProx finans sektöründe iyi bilinmektedir. Örneğin Visa, 2023’te saldırı aracını kullanan kampanyaları belgeledi; bunlardan biri Asya-Pasifik bölgesindeki çeşitli bankaları hedef alıyordu. Aralık ayında yayınlanan İki Yıllık Tehdit Raporu.
Uzaktan erişim Truva Atı (RAT), modüler eklenti yeteneklerine sahip, kabuk komutlarını çalıştırabilen, dosyaları indirebilen, yükleyebilen ve yürütebilen, dosya sistemini değiştirebilen, kalıcılık oluşturabilen, ekran görüntüleri alabilen ve klavye ve fareyi değiştirebilen, “oldukça karmaşık bir JavaScript arka kapısıdır” Visa, raporunda şunları belirtti: “Bu benzersiz özellikler, kötü amaçlı yazılımın güvenlik sistemleri tarafından tespit edilmesinden kaçmasına ve hedeflenen finansal kuruluşlardan çeşitli hassas ödeme ve finansal bilgiler elde etmesine olanak tanıyor.
JSOutProx genellikle bir mali belgenin zip arşivindeki PDF dosyası olarak görünür. Ama gerçekte kurban dosyayı açtığında çalıştırılan şey JavaScript’tir. Saldırının ilk aşaması sistem hakkında bilgi topluyor ve dinamik DNS aracılığıyla gizlenen komuta ve kontrol sunucularıyla iletişim kuruyor. Saldırının ikinci aşamasında, Outlook’a ve kullanıcının kişi listesine erişim sağlamak ve sistemdeki proxy’leri etkinleştirmek veya devre dışı bırakmak da dahil olmak üzere daha fazla saldırı gerçekleştirmek için yaklaşık 14 eklentiden herhangi biri indirilir.
RAT, meşru görünmek için eklentileri GitHub’dan (veya daha yakın zamanda GitLab’dan) indirir.
Resecurity, analizinde “JSOutProx’un yeni sürümünün keşfi, GitHub ve GitLab gibi platformların istismar edilmesiyle birleştiğinde, bu kötü niyetli aktörlerin amansız çabalarını ve gelişmiş tutarlılığını vurguluyor” dedi.
Middle East Financials’dan Para Kazandıran Veriler
Visa’nın tehdit raporuna göre, Solar Spider bir kullanıcının güvenliğini ihlal ettiğinde, saldırganlar birincil hesap numaraları ve kullanıcı kimlik bilgileri gibi bilgileri topluyor ve ardından kurbana karşı çeşitli kötü niyetli eylemler gerçekleştiriyor.
Visa raporunda, “JSOutProx kötü amaçlı yazılımı, dünya genelindeki finans kurumları ve özellikle AP bölgesindekiler için ciddi bir tehdit oluşturuyor çünkü bu kuruluşlar bu kötü amaçlı yazılımla daha sık hedef alınıyor.” ifadesine yer verildi.
Visa, şirketlerin kötü amaçlı yazılım tehdidini azaltmak için çalışanlarına istenmeyen, şüpheli yazışmalarla nasıl başa çıkılacağı konusunda eğitim vermesi gerektiğini belirtti. Ayrıca, yeniden bulaşmayı önlemek için kötü amaçlı yazılımın herhangi bir örneği araştırılmalı ve tamamen düzeltilmelidir.
Resecurity’den Yoo, Solar Spider’ın gözünün en başarılı firmalar üzerinde olması nedeniyle daha büyük şirketlerin ve devlet kurumlarının grup tarafından saldırıya uğrama olasılığının daha yüksek olduğunu söylüyor. Ancak şirketlerin çoğunlukla tehdide özgü adımlar atması gerekmediğini, bunun yerine derinlemesine savunma stratejilerine odaklandıklarını söylüyor.
Yoo, “Kullanıcı, Çinlilerin saldırdığı gibi gökyüzündeki parlak nesneye bakmamaya odaklanmalı, ancak yapmaları gereken şey daha iyi bir temel oluşturmaktır” diyor. “İyi yama uygulama, ağ bölümlendirme ve güvenlik açığı yönetimine sahip olmak. Bunu yaparsanız bunların hiçbiri” muhtemelen kullanıcılarınızı etkilemeyecektir.
