Filipinler’deki bir kumar şirketi, Ekim 2021’den beri devam eden bir kampanya kapsamında Çin bağlantılı bir tehdit aktörünün hedefi oldu.
Slovak siber güvenlik firması ESET, adı altında Güneydoğu Asya kumar şirketlerine yönelik bir dizi saldırıyı takip ediyor. ChattyGoblin Operasyonu.
ESET, “Bu saldırılar belirli bir taktik kullanıyor: sohbet uygulamaları, özellikle Comm100 ve LiveHelp100 uygulamaları aracılığıyla kurban şirketlerin destek temsilcilerini hedef alıyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
Kötü amaçlı yazılım dağıtmak için truva atına bulaştırılmış bir Comm100 yükleyicisinin kullanıldığı, ilk olarak Ekim 2022’de CrowdStrike tarafından belgelendi. Şirket, tedarik zincirindeki uzlaşmayı, muhtemelen Çin’le bağlantılı bir tehdit aktörüne bağladı.
Saldırı zincirleri, daha sonra saldırıya uğramış iş istasyonlarına bir Cobalt Strike işareti bırakmak için bir kanal görevi gören başka bir C# yürütülebilir dosyasını konuşlandıran bir C# damlasını dağıtmak için yukarıda bahsedilen sohbet uygulamalarından yararlanır.
ESET’in APT Etkinlik Raporu 2022’nin 4. Çeyreği – 2023’ün 1. Çeyreği arasında Hindistan bağlantılı tehdit aktörleri Donot Team ve SideWinder tarafından Güney Asya’daki devlet kurumlarına yönelik düzenlenen saldırılar da vurgulanmıştır.
Başka bir sınırlı saldırı grubu, adlı başka bir Hintli APT grubuna bağlandı. Konfüçyüs en az 2013’ten beri aktif olan ve Patchwork grubuyla bağları paylaştığına inanılan. Tehdit aktörünün geçmişte kullandığı Pegasus temalı yemler Ve diğer tuzak belgeler Pakistan devlet kurumlarını hedef almak için.
ESET’e göre en son izinsiz giriş, BADNEWS RAT’ın yükseltilmiş bir çeşidi olan Ragnatela adlı bir uzaktan erişim truva atının kullanımını içeriyordu.
Başka bir yerde, siber güvenlik şirketi, OilRig (namı diğer Hazel Sandstorm) olarak anılan İranlı tehdit aktörünün Mango etiketli özel bir implantı İsrailli bir sağlık şirketine yerleştirdiğini tespit ettiğini söyledi.
Microsoft’un kısa süre önce İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı yeni ortaya çıkan bir tehdit kümesi olan Storm-0133’ü yalnızca İsrail yerel hükümet kurumlarını ve savunma, konaklama ve sağlık sektörlerine hizmet veren şirketleri hedef alan saldırılara bağladığını belirtmekte fayda var.
Microsoft, “MOIS grubu, meşru ancak güvenliği ihlal edilmiş İsrail web sitesini komuta ve kontrol (C2) için kullandı ve teknik, savunucuların anormal ağ etkinliğini belirlemek için genellikle coğrafi konum verilerini kullanan çabalarını karmaşıklaştırdığından, operasyonel güvenlikte bir gelişme gösterdi” dedi. , ayrıca Storm-0133’ün bu izinsiz girişlerde Mango kötü amaçlı yazılımına güvendiğine işaret ediyor.
ESET ayrıca, Kuzey Kore destekli Lazarus Group tarafından Ocak 2023’te Accenture temalı bir sosyal mühendislik cazibesi kullanılarak düzenlenen bir saldırının, adı açıklanmayan bir Hintli veri yönetimi hizmetleri sağlayıcısının hedefi olduğunu söyledi.
Şirket, “Saldırganların amacı, büyük olasılıkla iş e-postalarının ele geçirilmesi yoluyla şirketin ağındaki varlıklarından para kazanmaktı” dedi ve bunu geleneksel mağduriyet modellerinden bir değişiklik olarak nitelendirdi.
Lazarus Group’un Şubat 2023’te Polonya’daki bir savunma yüklenicisine, ScoringMathTea adlı bir RAT’ı ve ImprudentCook adlı karmaşık indirilmiş kod adlı bir programı konuşlandırmak için SumatraPDF’nin değiştirilmiş bir sürümünü silahlandıran bir saldırı zinciri başlatmak için sahte iş teklifleri yoluyla ihlal ettiği söyleniyor.
Listenin sonuncusu, Gamaredon, Sandworm, Sednit, The Dukes ve SaintBear gibi Rusya bağlantılı APT gruplarından gelen ve sonuncusu güncellenmiş bir sürümünü kullandığı tespit edilen bir mızrakla kimlik avı etkinliğidir. Fil kötü amaçlı yazılım çerçevesi ve ElephantLauncher olarak bilinen yeni bir Go tabanlı arka kapı.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Zaman diliminde tespit edilen diğer önemli APT faaliyetleri, ESET’in 2022’nin başından beri SturgeonPhisher adı altında izlediği bir grupla güçlü bir şekilde örtüştüğünü söylediği Winter Vivern ve YoroTrooper’ı içeriyor.
Şimdiye kadar toplanan kanıtlar, YoroTrooper’ın aktif Orta Asya ve Avrupa’da hükümet, enerji ve uluslararası kuruluşları hedef alan saldırılarla en az 2021’den beri.
Taktiklerinin Mart 2023’te kamuoyuna açıklanmasının “faaliyette büyük bir düşüşe” yol açarak grubun şu anda cephaneliğini yeniden donatma ve çalışma tarzını değiştirme olasılığını artırdığından şüpheleniliyor.
ESET’in bulguları Kaspersky’nin bulgularını takip ediyor 2023 1. Çeyrek için APT trendleri raporudaha önce bilinmeyen bir tehdit aktörünün, Lübnan hükümet kurumlarını “virüs bulaşmış makinelerde Windows sistem komutlarını uzaktan yürütmelerine olanak tanıyan evde oluşturulmuş kötü amaçlı yazılım” kullanarak hedef alan Trila adını ortaya çıkardı.
Rus siber güvenlik şirketi ayrıca, Pakistan’daki bir devlet kuruluşunu hedef alan ve bir APT aktörünün aktif saldırılarda programlama dilini kullandığı ender örneklerden biri olan DreamLand olarak adlandırılan Lua tabanlı yeni bir kötü amaçlı yazılım türünün keşfedilmesine dikkat çekti.
Kaspersky araştırmacıları, “Kötü amaçlı yazılım modülerdir ve tespit edilmesi zor olan kötü amaçlı kodları yürütmek için Tam Zamanında (JIT) derleyicisiyle birlikte Lua komut dosyası dilini kullanır.” dedi.
“Ayrıca çeşitli hata ayıklama önleme yeteneklerine sahiptir ve faaliyetlerini yürütmek için C dili bağlarından yararlanan Lua FFI aracılığıyla Windows API’lerini kullanır.”
