Siber güvenlik odaklı bir haber ekibi olmak yoğun bir iştir ve size belirli bir hafta içinde basılmaya uygun tüm haberleri her zaman getiremeyiz. Bu nedenle, kaçırmış olmanız durumunda, ulaşamadığımız her şeyi bir araya getiren haftalık özetimizi geliştirdik (ICYMI).
Bu hafta yer altı siber suç dünyasının derinliklerine ineceğiz ve bu pazarların ve karmaşık ilişkilerin tipik olarak nasıl işlediğine bakacağız.
ICYMI, Dark Web’den aşağıdaki hikayeleri okuyun:
- Evil Corp ile Bağlantılı Raspberry Robin USB Solucan
- İlk Erişim Aracıları Artık Aktif Olarak MSP’leri Hedefliyor
- Yazar Açık Kaynağa Geçtikten Sonra Düzinelerce Luca Stealer Varyantı Yükseldi
Evil Corp ile Bağlantılı Raspberry Robin USB Solucan
Bir hedefin ağındaki diğer cihazlara yayılmadan önce Truva atlı USB cihazları aracılığıyla PC’lere bulaşan bir arka kapı solucanı olan Raspberry Robin, Evil Corp. taktikleriyle takip ediyormuş gibi görünen bir kampanyayı etkinleştirmek için hizmete alındı.
güncellenene göre Microsoft’tan uyarı Perşembe günü, mevcut, uykuda olan Raspberry Robin enfeksiyonları, bilinen bir ilk erişim aracısı (teknoloji devi tarafından DEV-0206 olarak izlenir) tarafından FakeUpdates kötü amaçlı yazılımını dağıtmak için kullanılıyor ve bu da ek kod getiriyor.
Bu noktada analize göre Evil Corp. devreye giriyor. Bu aşamada FakeUpdates, WastedLocker, PhoenixLocker veya Macaw gibi özel bir şirket içi fidye yazılımı yükünü dağıtmadan önce Cobalt Strike ve “fidye öncesi yazılım”ın diğer ayırt edici özelliklerini sunar.
“Kasım 2021 civarında, [Evil Corp.] Gönderiye göre, “Evil Corp. faaliyet grubu tarafından bir RaaS yükünün kullanılması, muhtemelen gruplarına atıfta bulunmaktan kaçınma girişimidir. onaylanmış durumları.”
Microsoft, DEV-0206 ve Evil Corp.’un bir süre birlikte çalıştıklarını, ancak ilk erişimin daha önce kötü amaçlı reklam yoluyla sağlandığını belirtiyor. Araştırmacılara göre Kırmızı Ahududu ile bağlantı yeni ve dikkate değer.
Tehdidi ilk kez 2021’de keşfeden Red Canary istihbarat direktörü Katie Nickels, “Raspberry Robin etkinliğini görmeye devam ediyoruz, ancak bunu belirli bir kişi, şirket, kuruluş veya ülke ile ilişkilendiremedik” diyor. “Sonuçta, Evil Corp’un Raspberry Robin’den sorumlu veya onunla bağlantılı olup olmadığını söylemek için henüz çok erken.”
İlk Erişim Aracıları Artık Aktif Olarak MSP’leri Hedefliyor
İlk erişim komisyoncuları (IAB’ler) yeraltı ekonomisinin önemli bir parçasıdır; ağlara girerler, arka kapılar kurarlar, sonra bu erişimi diğer hain tiplere kiralarlar. Huntress’teki araştırmacılar bu hafta yeni bir bükülme ortaya çıkardı: IAB’ler, alt müşterilere ulaşmanın bir yolu olarak yönetilen bir hizmet sağlayıcıya (MSP) erişim sağlamak için aktif olarak izin veriyor.
Huntress CEO’su Kyle Hanslovan bir reklamla karşılaştım tam da böyle bir erişim sunan bir yeraltı forumunda, kiralamanın MSP’nin en az 50 müşterisinin ağlarına bir “giriş” içereceğiyle övünüyor.
MSP’ler, kötü bir şekilde, 5.000’den fazla kuruluşun REvil fidye yazılımı saldırılarına maruz kalmasıyla sonuçlanan Kaseya fiyaskosunun hedefiydi.
MSP’ler, Mayıs ayında ABD federal kurumları tarafından işaretlendiği gibi, her türden saldırgan için çekici bir tedarik zinciri hedefi olmaya devam ediyor. MSP’ler ve müşterileri için bir uyarı, birden fazla ülkedeki (Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık dahil) MSP’lerin büyük olasılıkla aktif olarak hedef alındığını belirtti.
Yazar Açık Kaynağa Geçtikten Sonra Düzinelerce Luca Stealer Varyantı Yükseldi
Luca Stealer olarak bilinen bilgi hırsızı kötü adam siber suç sahnesinde daha yaygın hale gelmek üzere, araştırmacılar, kaynak kodunun çevrimiçi olarak ortaya çıkması sayesinde uyarıyorlar.
Cyble’daki araştırmacılar bu hafta dedi Rust kodlu kötü amaçlı yazılımın geliştiricisinin, kötü amaçlı yazılım kodlayıcı olarak yeni bir itibar kazanma umuduyla kaynak kodunu siber suç forumlarında ve GitHub’da 3 Temmuz’da açıkça yayınlamaya karar verdiğini söyledi. Özel kötü amaçlı yazılımların yüksek fiyata kiralanabileceği bir dünyada bu garip bir hareket.
Bir aydan kısa bir süre sonra, birden fazla tehdit aktörü tarafından geliştirilen, turları yapan 25’ten fazla Luca Stealer örneği var. Orijinal yazarın GitHub kodunu güncellemeye devam ettiği ve suç ve kâr için nasıl değiştirileceğine dair yararlı ipuçları sağladığı göz önüne alındığında, muhtemelen daha da fazlası olacaktır.
Luca Stealer, Chromium tabanlı tarayıcılardan veri kaldırma, dosya sızdırma ve mesajlaşma uygulamalarından ve kripto cüzdanlardan bilgi çalma dahil olmak üzere bir dizi ilgili yeteneğe sahiptir. Cyble’a göre, mevcut gözlemlenen kampanyalarda siber suçlular özellikle kripto meraklılarının peşinden gidiyor.
