Mexika’daki Siber Tehditler ve AllaKore RAT
Son dönemlerde, Mexika‘daki organizasyonlar, siber tehdit aktörleri tarafından hedef alınmaya devam etmektedir. Bu tehditler, Greedy Sponge adındaki finansal motivasyona dayalı bir hacking grubunun faaliyetleriyle ilişkilendirilmektedir. Greedy Sponge, 2021 yılının başından bu yana birçok sektörü kapsayan geniş bir saldırı yelpazesiyle aktif olarak çalışmaktadır. Perakende, tarım, kamusal hizmetler, eğlence, üretim, ulaşım, ticari hizmetler, sermaye malları ve bankacılık gibi alanlardaki kuruluşlar, bu kampanyaların hedefinde yer almaktadır.
AllaKore RAT ve Kötü Amaçlı Yazılımlar
AllaKore RAT, siber suçluların, seçilen banka kimlik bilgileri ve benzersiz kimlik doğrulama bilgilerini kendi command-and-control (C2) sunucularına geri göndermelerini sağlamak amacıyla önemli ölçüde değiştirilmiş bir kötü amaçlı yazılımdır. Arctic Wolf Labs tarafından yapılan bir analizde, bu yazılımın siber dolandırıcılık faaliyetleri için kullanıldığı belirtilmiştir.
Bu kampanyanın ayrıntıları, BlackBerry Araştırma ve İstihbarat Ekibi tarafından Ocak 2024’te belgelemeye alınmıştır. Saldırılar, genellikle phishing veya drive-by saldırıları ile kötü niyetli ZIP arşivleri dağıtarak gerçekleştirilmiş ve AllaKore RAT’ın yüklenmesine zemin hazırlamıştır. Arctic Wolf’un analiz ettiği saldırı zincirleri, uzaktan erişim Trojan’ının, SystemBC gibi ikincil yükleri seçmeli olarak dağıtacak şekilde tasarlandığını göstermektedir. SystemBC, Windows ana makinelerini SOCKS5 proxy olarak kullanan C tabanlı bir kötü amaçlı yazılımdır.
Geofencing ve Hedefli Saldırılar
Greedy Sponge, 2024 yılı ortalarında, analizleri engellemeyi amaçlayan geliştirilen jeo-fencing önlemleriyle ticaret becerilerini geliştirmiştir. Bu tedbirler, ilk aşamada Mexika bölgesinde gerçekleştirilen jeo-fencing işlemini sunucu tarafına taşıyarak son yükün erişimini kısıtlamaktadır.
En son versiyonda, “Actualiza_Policy_v01.zip” adı altında dağıtılan ZIP dosyaları, üçüncü tarafları eğitmeye yönelik Chrome proxy çalıştırıcıyı ve AllaKore RAT’ı yükleyecek şekilde tasarlanmış bir MSI dosyasını içermektedir. Bu MSI dosyası, uzaktan erişim Trojan’ını dış sunucudan yüklemekten sorumlu bir .NET downloader oluşturacaktır.
Covid-19 Sonrası Saldırılar ve Değişen Yöntemler
AllaKore RAT’ın, Latin Amerika’daki saldırılarda kullanılmadığı ilk kez değildir. Mayıs 2024’te, HarfangLab ve Cisco Talos, AllaSenha (diğer adıyla CarnavalHeist) isimli bir varyantın Brezilyalı bankacılık kurumlarını hedef alan saldırılarda kullanıldığını açıklamıştır. Arctic Wolf, dört yıldan uzun bir süredir Mexika varlıklarını hedef alan bu tehdit aktörünü, “ısrarcı fakat çok ileri düzey olmayan” bir suç grubu olarak tanımlamaktadır.
Siber saldırılar sırasında, Greedy Sponge’ın hiçbir coğrafi hedef belirlememesi, onları diğer gruplardan farklı kılmaktadır. Bu grup, belirli bir bölgede sürekli olarak çalışan bir yapı benimsemiş ve bu yapıyı sağlamlaştırmayı başarmıştır.
Yeni Tehditler: Ghost Crypt ve PureRAT
Son günlerde, eSentire, bir phishing kampanyasında Ghost Crypt adında yeni bir crypter-as-a-service çözümünün kullanıldığını ve bu çözümle PureRAT adlı Trojan’ın dağıtıldığını açıklamıştır. Sosyal mühendislik ile başlayan saldırılarda, tehdit aktörleri potansiyel kurbanlarını bir PDF dosyasıyla kandırmakta ve bu PDF içinde kötü niyetli ZIP dosyalarının bulunduğu bir Zoho WorkDrive bağlantısı göndermektedir.
Bu dosyaların içerdiği DLL yükü, Ghost Crypt ile şifrelenmiş olup, uzaktan erişim Trojan’ının Windows csc.exe sürecine enjekte edilmesi hedeflenmektedir. Ghost Crypt, Microsoft Defender Antivirus’u atlatma kabiliyetine sahip olmasıyla dikkat çekmektedir.
Tehdit Ortamındaki Gelişmeler
Son birkaç ayda, siber saldırılar, Kötü Amaçlı Inno Setup yükleyicileri kullanarak gerçekleştirilen saldırılarla daha karmaşık hale gelmiştir. Bu yükleyiciler, Hijack Loader (aka IDAT Loader) aracılığıyla RedLine bilgilerini çalan kötü amaçlı yazılımları dağıtmaktadır. Pascal betimleme yetenekleri ile, hedef alınan ya da ele geçirilen sistemlerde bir sonraki aşama yükünü dağıtmak için kullanılmaktadır.
Cyber tehdit ortamı sürekli olarak değişmekte ve yerel ile küresel düzeyde yeni stratejiler ve kötü niyetli yazılımlar ortaya çıkmaktadır. Bu süreçte, kullanıcılar için tehditler de her geçen gün daha karmaşık hale gelmektedir.
