05 Nisan 2025Ravie LakshmananKötü amaçlı yazılım / tedarik zinciri saldırısı

Devam eden bulaşıcı röportaj kampanyasının arkasındaki Kuzey Kore tehdit aktörleri, Beaverail kötü amaçlı yazılımları ve yeni bir uzaktan erişim Truva (sıçan) yükleyici sunan daha kötü amaçlı paketler yayınlayarak NPM ekosistemine dokunaçlarını yayıyor.

“Bu en son örnekler, otomatik algılama sistemlerinden ve manuel kod denetimlerinden kaçınmak için onaltılık dize kodlayan, tehdit aktörlerinin şaşkınlık tekniklerinde bir varyasyona işaret eder.” söz konusu bir raporda.

Söz konusu paketler, kaldırılmasından 5.600’den fazla toplu olarak indirilen paketler aşağıda listelenmiştir –

• Boş-Lay-Validator
• Twitterapis
• Dev-Debugger-Vite
• horlama
• çekirdek
• Etkinlikler-Utils
• icloud kodlu
• CLN-Logger
• Düğüm tıkanıklığı
• konsolide-log
• Konsolidate-Logger

Açıklama, altı NPM paketinin dağıtımının keşfedilmesinden yaklaşık bir ay sonra geliyor BeavertailA JavaScript Stealer Bu aynı zamanda InvisibleFerret olarak adlandırılan python tabanlı bir arka kapı teslim edebilir.

Kampanyanın nihai amacı, geliştirici sistemlerine bir iş görüşmesi süreci kisvesi altında sızmak, hassas verileri çalmak, finansal varlıkları sifonlamak ve tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmektir.

Yeni tanımlanan NPM kütüphaneleri, Lazarus Grubu tarafından daha önce Aralık 2024’te bir kampanya kodlu Phantom Pisti tarafından kullanıldığı gibi, daha önce bir komut ve kontrol (C2) adresi kullanarak, bunlardan biri-Dev-Debugger-Vite-ile kamu hizmetleri ve hata ayıklayıcılar olarak maskelendi.

Bu paketleri öne çıkaran şey, etkinlikler-utils ve iCloud-kod gibi bazıları, GitHub’ın aksine Bitbucket depolarıyla bağlantılıdır. Ayrıca, iCloud-Pod paketinin bir dizinde barındırıldığı bulunmuştur “.eiwork_hire“tehdit oyuncunun enfeksiyonu aktive etmek için görüşme ile ilgili temaları tekrarlamak.

Paketlerin bir analizi olan CLN-Logger, düğüm tıkacı, konsolidate-log ve konsolidate-logger, ayrıca küçük kod seviyesi varyasyonlarını ortaya çıkardı, bu da saldırganların kampanyanın başarı oranını artırmak amacıyla birden fazla kötü amaçlı yazılım varyantları yayınladığını gösteriyor.

Değişikliklerden bağımsız olarak, dört paketin içine yerleştirilmiş kötü amaçlı kod, uzak bir sunucudan bir sonraki aşamalı yükü yayma yeteneğine sahip bir uzaktan erişim Truva (sıçan) yükleyici olarak işlev görür.

Boychenko, “Bulaşıcı röportaj tehdidi aktörleri yeni NPM hesapları oluşturmaya ve NPM kayıt defteri, GitHub ve Bitbucket gibi platformlara kötü amaçlı kod dağıtmaya devam ediyor, kalıcılıklarını gösteriyor ve yavaşlama belirtisi göstermiyor.” Dedi.

“Gelişmiş Kalıcı Tehdit (APT) Grubu taktiklerini çeşitlendiriyor – yeni kötü amaçlı yazılımlar taze takma adlar altında yayınlamak, hem GitHub hem de Bitbucket depolarında yükler barındırma ve yeni gözlemlenen sıçan/yükleyici varyantının yanında Beaverail ve InvisibleFerret gibi çekirdek bileşenleri yeniden kullanma.”

Beavertail Drops Tropidoor

Yeni NPM paketlerinin keşfi, Güney Koreli siber güvenlik şirketi Ahnlab’ın Beaverail’i sağlayan işe alım temalı bir kimlik avı kampanyasını detaylandırdığı ve daha sonra daha önce belgelenmemiş bir Windows Backdoor kodlu Tropidoor’u dağıtmak için kullanıldığı için geliyor. Firma tarafından analiz edilen eserler, Beaverail’in Güney Kore’deki geliştiricileri aktif olarak hedeflemek için kullanıldığını gösteriyor.

. e -posta mesajıAutosquare adlı bir şirketten olduğu iddia edilen, Bitbucket’te barındırılan bir projeye bir bağlantı içeriyordu ve alıcıyı programı anlamalarını gözden geçirmek için makinelerinde yerel olarak klonlamaya çağırdı.

Uygulama, Beaverail (“Tailwind.config.js”) ve bir DLL Downloader kötü amaçlı yazılım (“Car.dll”) içeren bir NPM kütüphanesinden başka bir şey değildir.

Tropidoor, dosyaları dışarı atmayı, sürücüyü ve dosya bilgilerini toplamayı ve dosyalamayı, ekran görüntülerini çalıştırmayı ve sonlandırmayı, ekran görüntülerini yakalamayı ve silin veya silinme talimatlarını almak için bir C2 sunucusuyla iletişim kurabilen “indirici aracılığıyla bellekte çalışan” bir arka kapıdır.

İmplantın önemli bir yönü, daha önce BlindingCan’ın (AKA Airdry aka zetanile) halefi olan Lightlesscan adlı başka bir Lazarus grubu kötü amaçlı yazılımında da gözlemlenen bir özellik olan Schtasks, Ping ve Reg gibi Windows komutlarını doğrudan uyguladığıdır.

“Kullanıcılar sadece e -posta ekleri ile değil, aynı zamanda bilinmeyen kaynaklardan yürütülebilir dosyalarla da dikkatli olmalıdır.” Ahnlab söz konusu.

05 Nisan 2025Ravie LakshmananKötü amaçlı yazılım / tedarik zinciri saldırısı

Siber güvenlik araştırmacıları, hassas bilgileri çalmak için tasarlanmış Python Paket Dizin (PYPI) deposunda kötü amaçlı kütüphaneleri ortaya çıkardılar.

Paketlerden ikisi, bitcoinlibdbfix ve bitcoinlib-dev, maskeli balo Son Sorunlar Bitcoinlib adı verilen meşru bir python modülünde tespit edildi Tersine dönme. Üçüncü Paket keşfedilmiş Socket, Unygrasya, WooCommerce mağazalarını hedefleyen tam otomatik bir kartlama komut dosyası içeriyordu.

Pepy.tech’ten istatistiklere göre paketler kaldırılmadan önce yüzlerce indirme çekti –

ReversingLabs, “Kötü niyetli kütüphaneler, benzer bir saldırı deniyor ve meşru ‘CLW CLI’ komutunu hassas veritabanı dosyalarını dışarı atmaya çalışan kötü amaçlı kodla üzerine yazıyor.” Dedi.

İlginç bir bükülmede, sahte kütüphanelerin yazarlarının bir GitHub sorunu tartışmasına katıldıkları ve şüphesiz kullanıcıları söz konusu düzeltmeyi indirmeye ve kütüphaneyi çalıştırmaya çalışmaya çalıştıkları söyleniyor.

Öte yandan, Ungrasya’nın açıkça kötü niyetli olduğu bulunmuştur, bu da kartı ve kredi kartı bilgilerini çalma işlevselliğini gizlemek için hiçbir çaba sarf etmiştir.

Soket araştırma ekibi, “Kötü niyetli yük, 7.36.9 sürümünde tanıtıldı ve sonraki tüm sürümler aynı gömülü saldırı mantığını taşıdı.” Dedi.

Taramaayrıca kredi kartı doldurmadolandırıcıların ihlal edilen veya çalınan kart ayrıntılarını doğrulamak için bir satıcının ödeme işleme sistemine karşı çalıntı kredi veya banka kartı bilgilerinin toplu bir listesini test ettiği otomatik bir ödeme sahtekarlığı biçimini ifade eder. Otomatik işlem kötüye kullanımı olarak adlandırılan daha geniş bir saldırı kategorisine girer.

Çalınan kredi kartı verileri için tipik bir kaynak, kimlik avı, sıyırma veya stealer kötü amaçlı yazılım gibi çeşitli yöntemler kullanılarak mağdurlardan gelen kredi kartı detaylarının kurbanlardan alındığı bir kartlama forumudur. Diğer tehdit aktörlerine satılmak üzere ilan edildi daha fazla suç faaliyeti için.

Aktif oldukları tespit edildikten sonra (yani kayıp, çalınan veya devre dışı bırakıldığı bildirilmedi), dolandırıcılar bunları hediye kartları veya ön ödemeli kartlar satın almak için kullanırlar ve daha sonra kâr için yeniden satılır. Tehdit aktörlerinin, kart sahipleri tarafından sahtekarlık için işaretlenmesini önlemek için e-ticaret sitelerinde küçük işlemler deneyerek kartların geçerli olup olmadığını test ettikleri bilinmektedir.

Soket ile tanımlanan haydut paketi, özellikle WooCommerce kullanan tüccarları ödeme ağ geçidi olarak hedefleyen çalıntı kredi kartı bilgilerini doğrulamak için tasarlanmıştır.

Senaryo, meşru bir alışveriş etkinliğinin eylemlerini taklit ederek, programlı olarak bir ürün bularak, bir arabaya ekleyerek, WooCommerce Checkout sayfasına giderek ve ödeme formunu randomize faturalandırma ayrıntıları ve çalınan kredi kartı verileriyle doldurarak elde eder.

Gerçek bir ödeme işlemini taklit ederken, fikir yağmalanan kartların geçerliliğini test etmek ve kredi kartı numarası, son kullanma tarihi ve CVV gibi ilgili ayrıntıları saldırganın kontrolü altındaki harici bir sunucuya (“railgunmisaka[.]com “) dolandırıcılık tespit sistemlerinin dikkatini çekmeden.

“Adı anadili hoparlörlere kaşları yükseltebilir (‘Ungrasya’ ‘felaket’ veya ‘kaza’ için Filipinli argodur), meşru bir alışveriş yapan kişinin, sahtekarlık tespitini tetiklemeden gerçek bir check-system sistemlerine karşı çalınan kredi kartlarını taklit eden çok aşamalı bir işlemi gerçekleştiren bir paketin uygun bir karakterizasyonudur.” Dedi.

“Bu mantığı Pypi’de yayınlanan ve 34.000’den fazla kez indirilen bir Python paketinin içine yerleştirerek, saldırgan daha büyük otomasyon çerçevelerinde kolayca kullanılabilecek modüler bir araç oluşturdu ve Unsgrasya’yı zararsız bir kütüphane olarak gizlenmiş güçlü bir kartlama hizmeti haline getirdi.”

04 Nisan 2025Ravie LakshmananKritik altyapı / kötü amaçlı yazılım

Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA), hassas verileri çalmak amacıyla ülkedeki devlet yönetim organlarına ve kritik altyapı tesislerine karşı üçten az siber saldırı kaydedildiğini ortaya koymuştur.

Kampanya, ajans söz konusuDropMefiles ve Google Drive gibi meşru hizmetlere işaret eden bağlantılar içeren kimlik avı mesajları göndermek için tehlikeye atılmış e -posta hesaplarının kullanılmasını içeriyordu. Bazı durumlarda, bağlantılar PDF eklerine gömülür.

Dijital misyonlar, bir Ukrayna hükümet ajansının maaş kesmeyi planladığını ve alıcıyı etkilenen çalışanların listesini görüntülemek için bağlantıyı tıklamaya çağırarak yanlış bir aciliyet duygusu yaratmaya çalıştı.

Bu bağlantıları ziyaret etmek, belirli bir uzantılar kümesiyle eşleşen ve ekran görüntülerini yakalayan dosyaları hasat edebilen bir PowerShell komut dosyası getirmek ve yürütmek için tasarlanmış bir Visual Basic Script (VBS) yükleyicisinin indirilmesine yol açar.

UAC-0219 olarak izlenen bir tehdit kümesine atfedilen etkinliğin, en azından 2024 sonbaharından bu yana devam ettiği söyleniyor, EXE ikili dosyaları, bir VBS stealer ve hedeflerini gerçekleştirmek için Irfanview adlı meşru bir görüntü editörü yazılımı kullanan erken yinelemelerle.

CERT-UA, VBS Loader ve PowerShell kötü amaçlı yazılımını takma Worksteel’i verdi. Saldırılar hiçbir ülkeye atfedilmemiştir.

Siber saldırılar, sahte giriş sayfaları aracılığıyla webmail kimlik bilgilerini hasat etmek için Ukrayna’da devam eden çatışmalara bağlantılarla savunma ve havacılık varlıklarına odaklanan bir kimlik avı kampanyasının keşfini takip ediyor.

“Saldırganlar sayfayı kullanarak oluşturmuş gibi görünüyor PostaGitHub’da mevcut bir açık kaynaklı posta sunucusu yazılımı, “Domaintools Araştırmaları (DTI) ekibi söz konusu.

“Ukrayna’nın savunma ve telekomünikasyon altyapısında yer alan sahte örgütlere odaklanma ayrıca Ukrayna’daki çatışmayla ilgili istihbarat toplama niyetini öneriyor. Özellikle, sahte savunma, havacılık ve BT şirketlerinin birçoğu Ukrayna’nın Rusya ile çatışmasında askeri çabalarına destek sağladı.”

UAC-0050 ve UAC-0006 gibi Rusya’ya uyumlu saldırı setleri de gözlemlenen Finansal olarak ve casusluk motive edilmiş spam kampanyaları, 2025’in başından bu yana, öncelikle hükümetler, savunma, enerji ve STK gibi çeşitli sektörleri hedefleyen, Sload, Remcos Rat, Netsupport sıçan ve Smokeloader gibi kötü amaçlı yazılım ailelerini dağıtmak.

Gelişme, Kaspersky’nin Head Mare olarak bilinen tehdit aktörünün, birkaç Rus kuruluşunu hedeflediği konusunda uyardı. Fantompiramid Bu, Operatör tarafından bir komut ve kontrol (C2) sunucusu üzerinden verilen talimatları işleyebilir ve Meshagent gibi ek yükleri indirip çalıştırabilir.

Rus enerji şirketleri, endüstriyel işletmeler ve elektronik bileşenlerin tedarikçileri ve geliştiricileri de, bir tehdit aktör tarafından monte edilen kimlik avı saldırılarının alıcı sonunda yer alıyor. Tek boynuzlu at Bu, enfekte ana bilgisayarlardan dosyaları ve görüntüleri sifonlamak için tasarlanmış bir VBS Truva atı bıraktı.

Geçen ayın sonlarında, Seqrite Labs, Rusya’daki akademik, hükümet, havacılık ve savunma ile ilgili ağların, Hollowquill Operasyonu olarak adlandırılan bir kampanyanın bir parçası olarak, muhtemelen kimlik avı e-postaları aracılığıyla gönderilen silahlı tuzak belgeleri tarafından hedeflendiğini açıkladı. Saldırıların Aralık 2024’te başladığına inanılıyor.

Etkinlik, sosyal mühendislik arazilerini kullanıyor, kötü amaçlı yazılımları bağlayan PDF’leri, şüphesiz kullanıcıları saldırı zincirini tetiklemeye ikna etmek için araştırma davetiyeleri ve hükümet tebrikleri olarak gizliyor.

Güvenlik araştırmacısı Subhajeet Singha, “Tehdit varlığı, .NET kötü amaçlı bir yazılım damlası içeren bir kötü niyetli yazılım damlası içeren bir kötü amaçlı yazılım damlası içeren, Golang tabanlı bir kabuk kodu yükleyicisini daha da düşüren bir golang tabanlı kabuk kodu yükleyicisini daha da düşürüyor.” söz konusu.

04 Nisan 2025Ravie LakshmananTehdit İstihbaratı / Kötü Yazılım

Acemi bir siber suç aktörü, operasyonlarını kolaylaştırmak için Proton66 adlı Rus kurşun geçirmez bir barındırma (BPH) sağlayıcısının hizmetlerinden yararlandığı gözlendi.

Bulgular, CybersecureProtect adlı sahte bir web sitesi keşfettikten sonra etkinliği tespit eden Domaintools’tan geliyor[.]com, bir antivirüs hizmeti olarak görünen Proton66’da barındırıldı.

Tehdit istihbarat firması, alan adında kötü niyetli altyapısını açık bırakan ve böylece sunucuda düzenlenen kötü amaçlı yükleri ortaya çıkaran bir Operasyonel Güvenlik (OPSEC) başarısızlığı tespit ettiğini söyledi.

“Bu vahiy bizi bir tavşan deliğini, Coquettte olarak bilinen ortaya çıkan bir tehdit aktörünün operasyonlarına götürdü – Proton66’nın kötü amaçlı yazılımları dağıtmak ve diğer yasadışı faaliyetlere dahil olmak için kurşun geçirmez barındıran amatör siber suçlu bir kaldırım,” söz konusu Hacker News ile paylaşılan bir raporda.

Prospero olarak bilinen başka bir BPH hizmetine de bağlı Proton66, atfedilmiş ile Birkaç kampanya Masaüstü ve Android kötü amaçlı yazılımları Gootloader, Matanbuchus, Spynote, Coper (AKA Octo) ve Socgholish gibi dağıtmak. Hizmette barındırılan kimlik avı sayfaları, kullanıcıları bankacılık kimlik bilgilerine ve kredi kartı bilgilerini girmeye kandırmak için SMS mesajları aracılığıyla yayılmıştır.

Coquettte, proton66 ekosisteminin kötü yazılımları meşru antivirüs araçları kisvesi altında dağıtmak için sunulan faydalardan yararlanan böyle bir tehdit oyuncusudur.

Bu, daha sonra bir komut ve kontrol (C2) sunucusundan ikincil yükleri teslim etmekten sorumlu bir uzak sunucudan ikinci aşamalı bir kötü amaçlı yazılım indiren bir Windows yükleyicisi içeren bir Zip Arşivi (“Cybersecure Pro.zip”) biçimini alır.[.]TF “).

İkinci aşama, geçmişte Lumma, Vidar ve Raccoon gibi bilgi samanlılarını dağıtmak için kullanılan Rugmi (diğer adıyla Penguish) olarak sınıflandırılan bir yükleyicidir.

Coquettte’nin dijital ayak izlerinin daha fazla analizi, Kişisel web sitesi “19 yaşındaki bir yazılım mühendisi, yazılım geliştirme derecesi alıyor” olduğunu iddia ediyorlar.

Dahası, CIA[.]TF etki alanı “root@coquettte e -posta adresine kaydedildi[.]com, “Tehdit oyuncusunun C2 sunucusunu kontrol ettiğini ve sahte siber güvenlik sitesini kötü amaçlı yazılım dağıtım merkezi olarak çalıştırdığını onaylamak.

Domaintools, “Bu, Coquettte’nin siber suç çabalarında amatör hatalarla (açık dizin gibi) hizalanan genç bir birey, muhtemelen bir öğrenci olduğunu gösteriyor.” Dedi.

Tehdit oyuncusu girişimleri kötü amaçlı yazılımlarla sınırlı değildir, çünkü yasadışı maddeler ve silahlar üretmek için rehberler satan diğer web sitelerini de yürütüyorlar. Coquettte’nin, Horrid ismine giren daha geniş bir hack grubuna gevşek bir şekilde bağlı olduğuna inanılıyor.

Şirket, “Üst üste binen altyapı paterni, bu sitelerin arkasındaki bireylerin kendilerine ‘korkunç’ olarak adlandırabileceğini, Coquettte’nin yalnız bir aktörden ziyade üyelerinden birinin takma adı olduğunu gösteriyor.” Dedi.

Diyerek şöyle devam etti: “Grubun siber suç ve yasadışı içeriğe bağlı birden fazla alan ile ilişkisi, ilham verici veya amatör siber suçlular için bir kuluçka görevlisi olarak işlev gördüğünü ve kendilerini yeraltı hackleme çevrelerinde kendilerini kurmak isteyenlere kaynak ve altyapı sağladığını gösteriyor.”