Rusya'daki çeşitli eyalet ve kilit endüstriyel kuruluşlara, muhtemelen casusluk operasyonlarına yardımcı olan veri hırsızlığı yapan özel bir GO tabanlı arka kapıya saldırdı.
Kaspersky kampanyayı ilk olarak Haziran 2023'te tespit ederken, Ağustos ayının ortalarında, siber güvenlik firması, arka kapağın daha iyi kaçakçılığa giren ve saldırıların devam eden optimizasyonunu gösteren daha yeni bir versiyonunu tespit etti.
Bu kampanyadan sorumlu tehdit aktörleri bilinmiyor ve Kaspersky, savunucuların saldırıları engellemelerine yardımcı olabilecek uzlaşma göstergelerini paylaşmakla sınırlıydı.
Saldırı, bir nullsoft arşivi yürütülebilir dosyası olan 'finansovy_kontrol_2023_180529.rar' (finansal kontrol) adlı kötü amaçlı bir ARJ arşivi taşıyan bir e -posta ile başlar.
Arşiv, kurbanın dikkatini dağıtmak için kullanılan bir tuzak PDF belgesi ve birincil yükü harici bir URL adresinden (Fas-Gov-Ru [.] COM) getiren ve başlatan bir NSIS komut dosyası içerir.
Kötü amaçlı yazılım yükü 'usrrunvga.exe' olarak 'C: \ ProgramData \ Microsoft \ Devicesync \' adresinden düşürülür.
Kaspersky, aynı kimlik avı dalgasının 'Netrunner' ve 'DMCServ' adlı iki geri dönüş dağıttığını söyledi. Bunlar farklı C2 (komut ve kontrol) sunucu yapılandırmalarına sahip aynı kötü amaçlı yazılımdır.
Komut dosyası, kötü amaçlı yürütülebilir dosyaları gizli bir pencerede başlatır ve kalıcılık oluşturmak için bir başlangıç menüsü bağlantısı ekler.
Arka kapının işlevselliği aşağıdakileri içerir:
C2 sunucusuna gönderilen tüm veriler, ağ izleme çözümlerinden algılamadan kaçınmak için önce AES şifrelenir.
Analizden kaçınmak için, kötü amaçlı yazılım, sanallaştırılmış bir ortamda çalışıp çalışmadığını ve eğer varsa çıkıp çıkmadığını tespit etmek için kullanıcı adı, sistem adı ve dizin kontrolleri gerçekleştirir.
Bu kontrollerin sonuçları, kurban profili için kullanılacak enfeksiyonun ilk aşamasında C2'ye gönderilir.
Ağustos ayının ortalarında Kaspersky, bazı gürültülü ön kontrollerin kaldırılması ve yeni dosya çalma özelliklerinin eklenmesi gibi küçük değişiklikler içeren yeni bir arka kapının varyantını fark etti.
En önemlisi, yeni sürüm 27 web tarayıcısında ve Thunderbird e -posta istemcisinde depolanan kullanıcı şifrelerini hedefleyen bir modül ekler.
En son arka kapı sürümü tarafından hedeflenen tarayıcılar arasında Rusya'da popüler ve güvenilir bir tarayıcı olan Chrome, Firefox, Edge, Opera, Brave, Vivaldi ve Yandex yer alıyor.
AES anahtarı bu kötü amaçlı yazılım sürümünde yenilenmiştir ve istemci-C2 komutunu ve parametre iletişimini korumak için RSA asimetrik şifreleme eklenmiştir.
Discord hala kötü amaçlı yazılım aktivitesi - şimdi APT'ler eğlenceye katılıyor
Govt saldırılarında kullanılan yeni gizli ve modüler Deadglyph kötü amaçlı yazılım
Yeni 'Metastealer' kötü amaçlı yazılım hedefleri Intel tabanlı MacOS Systems
Avrupa Govt E-posta Sunucuları Roundcube Zero-Day Kullanarak Hacklendi
Rus Sandworm Hacker'ları Mayıs ayından bu yana 11 Ukrayna telcosunu ihlal etti
Kaynak: Bleeping Computer