Çin devlet destekli bilgisayar korsanları, hava kaplı sistemlerden veri çalabilen yeni kötü amaçlı yazılımlarla endüstriyel organizasyonları hedefliyor.
Hava engelli sistemler tipik olarak kritik rolleri yerine getirir ve kurumsal ağdan ve genel internetten fiziksel veya yazılım ve ağ cihazları aracılığıyla izole edilir.
Siber güvenlik şirketindeki araştırmacılar Kaspersky yeni kötü amaçlı yazılımları keşfetti ve onu siber-ihale grubu APT31, yani Zirconium'a bağladılar.
Bulgulara göre, bilgisayar korsanları Doğu Avrupa'daki saldırılarda, her biri operasyonun farklı bir aşaması ve imzalı 'Fourteenhi' kötü amaçlı yazılım ailesi için en az 15 farklı implant kullandılar.
Kaspesky, saldırıların geçen yıl Nisan ayında başladığını ve üç ayrı aşama içerdiğini söyledi. Başlangıç aşamasındaki implantlar, uzlaşmış sistemlere kalıcılık ve uzaktan erişim oluşturdu ve keşif için yararlı bir toplanmış veriler.
İkinci aşamada, APT31, USB yayılımı kullanarak izole edilmiş (hava kaplı) sistemlerden veri çalabilen daha özel kötü amaçlı yazılımlar bırakır.
Son olarak, saldırının üçüncü aşamasında, bilgisayar korsanları toplanan verileri komut ve kontrol (C2) sunucularına yükleyebilen implantlar kullanır.
İzole sistemleri hedefleyen kötü amaçlı yazılım, aşağıda açıklanan dört modülden oluşur.
Mayıs 2022'de Kaspersky, ihlal edilen sistemlerden yerel dosyaları toplamak için tasarlanmış APT31 saldırılarında kullanılan ek bir implant fark etti.
Bu implant, kötü amaçlı yazılım algılamasından kaçınmak için yükünü meşru bir işlemin belleğine karıştırır ve enjekte eder, daha sonra 10 dakika uyur ve sonunda yapılandırmasında tanımlanan dosya türü uzantılarıyla eşleşen tüm dosyaları kopyalar.
Çalınan dosyalar Winrar (mevcut değilse, kötü amaçlı yazılım çıkarları) kullanılarak arşivlenir ve daha sonra "C: \ ProgramData \ Networks \" altında kötü amaçlı yazılım tarafından oluşturulan geçici yerel klasörlerde saklanır. Sonuçta, arşivler Dropbox'a eklenir.
Kaspersky, saldırıların gizli olduğunu ve aşağıdaki taktikleri, teknikleri ve prosedürleri (TTP'ler) listelediğinin altını çiziyor: DLL, kötü niyetli yükleri belleğe yüklemek ve ayrı ikili veri dosyalarında şifreli formda yükleri gizlemek için kaçırma siparişi.
Şirket, kötü amaçlı yazılım karmaları, tam bir uzlaşma göstergesi gibi ek veriler ve kötü amaçlı yazılımın başından sonuna kadar etkinliği hakkında ayrıntıları içeren teknik bir rapor sunmaktadır.
Hava engelli sistemler, tipik olarak kötü amaçlı yazılım sunmak ve verileri izole ortamdan dışarı çıkarmak için USB sürücülerine yönlendiren APT grupları için cazip bir hedeftir.
USB sürücü kötü amaçlı yazılım saldırıları 2023'ün ilk yarısında tekrar artıyor
Bilgisayar korsanları çalma sinyali, sahte android sohbet uygulamasıyla whatsapp kullanıcı verileri
CISA: Hacked Barracuda ESG Aletleri'nde bulunan yeni denizaltı kötü amaçlı yazılım
Spynote android kötü amaçlı yazılım enfeksiyonları kaynak kodu sızıntısından sonra artış
Yeni Android kötü amaçlı yazılım, resimlerden kimlik bilgilerini çalmak için OCR kullanıyor
Kaynak: Bleeping Computer