Orta Doğu ve Kuzey Afrika, bilinen bir kötü amaçlı yazılımın değiştirilmiş bir versiyonunu sunan yeni bir kampanyanın hedefi haline geldi. Asyncrat Eylül 2024’ten beri.
“Sosyal medyayı kötü amaçlı yazılım dağıtmak için kullanan kampanya, bölgenin mevcut jeopolitik iklimine bağlıdır.” söz konusu Geçen hafta yayınlanan bir analizde. “Saldırganlar, bu amaçla özel olarak kurulmuş olan meşru çevrimiçi dosya paylaşım hesaplarında veya telgraf kanallarında kötü amaçlı yazılımlara ev sahipliği yapar.”
Rus siber güvenlik şirketi, 2024 sonbaharından bu yana yaklaşık 900 kurban talep ettiği tahmin ediliyor. Kurbanların çoğunluğu Libya, Suudi Arabistan, Mısır, Türkiye, Birleşik Arap Emirlikleri, Katar ve Tunus’ta bulunmaktadır.
Faaliyet, dublajlı bir tehdit oyuncusuna atfedilen Çöl DexterŞubat 2025’te keşfedildi. Esas olarak Facebook’ta geçici hesaplar ve haber kanalları oluşturmayı içeriyor. Bu hesaplar daha sonra bir dosya paylaşım hizmeti veya telgraf kanalına bağlantılar içeren reklamlar yayınlamak için kullanılır.
Bağlantılar, kullanıcıları, çevrimdışı bir keylogger içerecek şekilde değiştirilmiş Asyncrat kötü amaçlı yazılımların bir sürümüne yönlendirir; 16 farklı kripto para birimi cüzdan uzantısı ve uygulamasını arayın; ve bir telgraf botuyla iletişim kurun.
Öldürme zinciri, saldırının ikinci aşamasını tetiklemekten sorumlu bir PowerShell komut dosyası çalıştırmak üzere programlanmış bir toplu beter veya bir JavaScript dosyası içeren bir RAR arşivi ile başlar.
Özellikle, kötü amaçlı yazılımın başlamasını önleyebilecek çeşitli .NET hizmetleriyle ilişkili işlemleri sonlandırır, “C: ProgramData Pencereler” ve “C: Users PublicShost” ve VBS ile dosyaları siler ve C: ProgramData WindowShost ve C ve PS1 dosyalarında yeni bir VBS dosyası oluşturur.
Komut dosyası daha sonra sistem üzerinde kalıcılık oluşturur, sistem bilgilerini bir telgraf botuna toplar ve söndürür, bir ekran görüntüsü alır ve sonuçta asyncrat yükünü “aspnet_compiler.exe” yürütülebilir dosyasına enjekte ederek başlatır.
JavaScript dosyasındaki Arap dili yorumları olası kökenlerini ifade etse de, şu anda kampanyanın arkasında kimin olduğu bilinmemektedir.
Telegram botuna gönderilen mesajların daha fazla analizi, saldırganın “Dextermsi” adlı kendi masaüstünün ekran görüntülerini ve PowerShell betiğinin yanı sıra bir aracı içeren ekran görüntülerini ortaya çıkardı. Parlaklık bağlantı sıçanı. Telegram botunda ayrıca mevcut bir telgraf kanalının bağlantısı var “beceriksizce“tehdit oyuncunun Libya’dan olabileceğini öne sürerek. Kanal 5 Ekim 2024’te oluşturuldu.
“Mağdurların çoğunluğu, aşağıdaki sektörlerdeki çalışanlar da dahil olmak üzere sıradan kullanıcılardır: petrol üretimi, inşaat, bilgi teknolojisi, [and] Tarım, “dedi araştırmacılar.
“Çöl Dexter tarafından kullanılan araçlar özellikle sofistike değildir. Ancak, Facebook reklamlarının meşru hizmetlerle kombinasyonu ve jeopolitik duruma referanslar çok sayıda cihazın enfeksiyonuna yol açmıştır.”
Gelişme qianxin olarak geliyor açıklığa kavuşmuş Okyanus bilimleri ve teknolojileri ile ilgili hassas bilgileri hasat edebilen bir arka kapı sunmak amacıyla Çin’deki bilimsel araştırma kurumlarını hedefleyen Sea Elephant Operasyonu olarak adlandırılan bir mızrak aktı kampanyasının detayları.
Etkinlik, UTG-Q-011 adlı bir kümeye atfedildi, ki bu, CNC Group adlı başka bir düşman kolektifi içinde bir alt küme, taktiksel örtüşmeler Patchwork’le paylaşan bir alt küme, bir tehdit aktörü ile şüpheli Hindistan’dan olmak.
