Kazakistan’daki kuruluşlar, tehdit faaliyeti kümesinin hedefi haline geldi Kanlı Kurt STRRAT (diğer adıyla Strigoi Master) adı verilen bir ticari kötü amaçlı yazılımı ileten bir yazılımdır.
Siber güvenlik satıcısı BI.ZONE, “Yeraltı kaynakları üzerinden 80 dolar gibi düşük bir fiyata satılan program, saldırganların kurumsal bilgisayarların kontrolünü ele geçirmesine ve kısıtlanmış verileri ele geçirmesine olanak sağlıyor” dedi. söz konusu yeni bir analizde.
Siber saldırılarda, ilk erişim vektörü olarak kimlik avı e-postaları kullanılıyor ve alıcıların PDF eklerini açmasını sağlamak için Kazakistan Cumhuriyeti Maliye Bakanlığı ve diğer kurumları taklit ediyor.
Dosya, bir uyumsuzluk bildirimi gibi görünüyor ve kötü amaçlı bir Java arşivi (JAR) dosyasına bağlantılar ile kötü amaçlı yazılımın çalışması için gerekli olan Java yorumlayıcısının kurulum kılavuzunu içeriyor.
Saldırıya meşruiyet kazandırmak amacıyla ikinci bağlantı, ülkenin hükümetinin internet sitesine bağlı bir web sayfasına yönlendiriyor ve ziyaretçilerden portalın çalışır durumda olduğundan emin olmak için Java yüklemeleri isteniyor.
Kazakistan hükümetinin web sitesini taklit eden bir web sitesinde barındırılan STRRAT kötü amaçlı yazılımı (“egov-kz”)[.]”online”), Kayıt Defteri değişikliği yoluyla Windows ana bilgisayarında kalıcılığı ayarlar ve JAR dosyasını her 30 dakikada bir çalıştırır.
Dahası, JAR dosyasının bir kopyası, sistem yeniden başlatıldığında otomatik olarak başlamasını sağlamak için Windows başlangıç klasörüne kopyalanır.
Daha sonra, saldırıya uğrayan makineden işletim sistemi sürümü ve yüklü antivirüs yazılımı ile Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook ve Thunderbird’deki hesap verileri gibi hassas bilgileri sızdırmak için bir Pastebin sunucusuyla bağlantı kurar.
Ayrıca sunucudan daha fazla yük indirmek ve yürütmek için ek komutlar almak, tuş vuruşlarını kaydetmek, cmd.exe veya PowerShell kullanarak komutları çalıştırmak, sistemi yeniden başlatmak veya kapatmak, bir proxy yüklemek ve kendini kaldırmak için tasarlanmıştır.
BI.ZONE, “JAR gibi daha az yaygın dosya türlerini kullanmak, saldırganların savunmaları aşmasını sağlar,” dedi. “Pastebin gibi meşru web hizmetlerini kullanarak tehlikeye atılan sistemle iletişim kurmak, ağ güvenlik çözümlerinden kaçınmayı mümkün kılar.”