StrongPity Hackerları,Watering hole Yöntemi ile Suriye ve Türkiye’yi Hedef Aldı!!!

Siber güvenlik araştırmacıları bugün, Suriye ve Türkiye’deki belirli kesimlere karşı yapılan saldırılarının yeni ayrıntılarını ortaya çıkardılar.

Siber güvenlik firması Bitdefender, Hacker News ile paylaşılan bir raporda, operasyonun arkasındaki gelişmiş kalıcı tehdidin, StrongPity olarak adlandırılan, tehlikeye atılan makineleri kontrol etmek için yeni taktiklerle yeniden şekillendiğini söyledi.

“Kurbanları seçici olarak enfekte etmek için Watering hole (su kaynağı) taktiklerini kullanarak ve adli soruşturmalara engel olmak için üç katmanlı bir C&C altyapısı uygulayan APT grubu, arşivler, dosya kurtarma uygulamaları, uzaktan bağlantı uygulamaları, yardımcı programlar ve hatta güvenlik yazılımları gibi Truva atı popüler araçlarından yararlandı. hedeflenen kurbanların arayabileceği çok çeşitli seçenekleri kapsamaktadır “dedi.

StrongPity (veya Promethium) ilk olarak Ekim 2016’da Belçika ve İtalya’daki WinRAR ve TrueCrypt dosya şifreleme yazılımının kötü amaçlı sürümlerini sunmak için Watering hole (su kaynağı) kullanan kullanıcılara yönelik saldırıların ardından kamuya açıklandı. O zamandan beri APT, Türk Telekom’un Türkiye ve Suriye’deki yüzlerce kullanıcıyı otantik yazılımın zararlı StrongPity sürümlerine yönlendirerek bu şekilde sistemlere bulaştığını belirledi.

Böylece, hedeflenen kullanıcılar resmi web sitesinde meşru bir uygulama indirmeyi denediğinde, sistemlerden ödün vermek için bir Watering hole (su kaynağı) veya bir HTTP yönlendirmesi gerçekleştirmekte

Geçtiğimiz Temmuz ayında AT&T Alien Labs, StrongPity’i yüklemek ve rakip altyapı ile iletişim kurmak için WinBox yönlendirici yönetim yazılımının ve WinRAR dosya arşivleyicisinin truva atı versiyonlarından yararlanan yeni bir casus yazılım kampanyasının kanıtını buldu. Bitdefender tarafından belirlenen yeni saldırı yöntemi şu şekilde işliyor: Kullanıcılar McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp ve Piriform’s CCleaner gibi uygulamaları indirmeye çalışır iken saldırganlar tarafından farklı bir trafiğe yönlendirilerek aynı programların zararlı barındıran uygulamalarının indirilmesi sağlanıyor.

Araştırmacılar, “İlginç bir şekilde, kusurlu uygulamalarla ilgili olarak incelenen tüm dosyaların Pazartesi’den Cuma’ya, normal 9 ila 6 UTC + 2 çalışma saatinde derlendiği görülüyor.” Dedi.

“Bu, StrongPity’nin belirli ‘projeleri’ sunmak için ödenen sponsorlu ve organize bir geliştirici ekibi olabileceği fikrini güçlendiriyor.” Kötü amaçlı yazılım indirilip çalıştırıldığında, belge dışa aktarma ve yürütülecek komutları almak için bir komut ve kontrol sunucusuyla iletişim kuran arka kapı kurulmaktadır.

Ayrıca, kurbanın makinesinde her sürücüye atlayan ve ZIP arşivi biçiminde genişletilecek belirli uzantılara (örneğin, Microsoft Office belgeleri) sahip dosyaları arayan bir “Dosya Arayıcı” bileşeni dağıtır. Bu ZIP dosyası daha sonra birden çok gizli “.sft” şifrelenmiş dosyaya bölünür, C&C sunucusuna gönderilir ve sonuçta dışarı sızma izlerini kapsayacak şekilde diskten silinir.

StrongPity’nin arkasındaki tehdit aktörü, Firefox, VPNpro, DriverPack ve 5kPlayer’ın lekeli sürümlerini kullanarak Kolombiya, Hindistan, Kanada ve Vietnam’daki kullanıcıları enfekte etmek için kullandıklarıda gelen bilgiler içerisinde.

Cisco Talos araştırmacıları dün, belge aramasını başlatmak ve toplanan dosyaları iletmek için “winprint32.exe” adlı bir modül kullanan gelişen bir kötü amaçlı yazılım araç setini açıkladı. Dahası, sahte Firefox yükleyici, kötü amaçlı yazılımı bırakmadan önce ESET veya BitDefender antivirüs yazılımının yüklü olup olmadığını da kontrol eder. Araştırmacılar, “Bu özellikler, bu tehdit aktörünün aslında kiralama operasyonu için bir kurumsal hizmetin parçası olabileceğinin işaretleri olarak yorumlanabilir.” Dedi. “Her kötü amaçlı yazılım parçasının benzerliğinin son derece benzer olması ancak küçük değişikliklerle farklı hedeflerde kullanılması nedeniyle bunun profesyonel olarak paketlenmiş bir çözüme sahip olduğuna inanıyoruz.”

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!