Luoyu olarak bilinen Çince konuşan bir hack grubu, mağdurları enfekte ediyor Windealer Bilgi Stealer kötü amaçlı yazılımlar, meşru uygulama güncellemelerini, yandaki adam saldırılarında kötü amaçlı yüklerle değiştirerek konuşlandırıldı.
Bunu yapmak için, tehdit aktörleri, QQ, Wechat ve Wangwang gibi popüler Asya uygulamalarına bağlı uygulama güncelleme talepleri için hedeflerinin ağ trafiğini aktif olarak izliyor ve bunları Winerealer yükleyicileriyle değiştiriyor.
Dağıtım yapıldıktan sonra Windealer, saldırganların tehlikeye atılan Windows sistemlerinden büyük miktarda veri aramasına ve sifonlarına yardımcı olur, kalıcılığı korumak, dosyaları değiştirmek, ağdaki diğer cihazları taramak ve keyfi komutlar çalıştırmak için backdoors yüklemelerine yardımcı olur.
Güvenlik Araştırmacılarına göre, ortak sabit kodlu komut ve kontrol (C2) sunucu bilgilerini kullanmak yerine Windealer, Xizang ve Guizhou eyaletlerinden 48.000 IP adresi havuzundan rastgele bir Chinanet (AS4134) IP adresine bağlanacak. Bu yeni teslimat yöntemini gözlemleyen Kaspersky'de.
Bu IP aralıklarının tamamını kontrol etmek muhtemelen imkansız olduğundan, Luoyu'nun nasıl yapabileceğine dair açıklamalar, "AS4134 yolunda (veya iç)" ISS seviyesi kolluk araçlarının kullanımı "yolunda (veya içeride) tehlikeye atılan yönlendiricilerin kullanımını içeriyor. Genel halk tarafından bilinmeyen zeka yöntemlerine işaret eder. "
Luoyu, daha önce kötü amaçlı yazılımları enfeksiyon vektörleri olarak kullanacakları sulama deliği saldırılarına daha kolay ittikten sonra kurbanlarının uygulamalarının otomatik güncelleme mekanizmasını kötüye kullanmaya geçti.
"Bir cihaza saldırmak için gereken tek koşul internete bağlanması için gerekli olan tek koşul, son derece yıkıcıdır. Saldırı ilk kez başarısız olsa bile, saldırganlar süreci tekrar tekrar tekrarlayabilir Yine başarılı olana kadar, "diye açıkladı Kaspersky kıdemli güvenlik araştırmacısı Suguru Ishimaru.
"Saldırının nasıl yapıldığı önemli değil, potansiyel kurbanların kendilerini savunmasının tek yolu son derece uyanık kalmak ve normal antivirüs taramaları, giden ağ trafiğinin analizi ve anomalileri tespit etmek için kapsamlı günlüğe kaydetme gibi sağlam güvenlik prosedürlerine sahip olmaktır."
Koreli ve Japon örgütlerini hedefleyen en az 2014'ten bu yana Luoyu, Çin'deki yabancı diplomatik organizasyonlara, akademik topluluk ve savunma ve telekomünikasyon da dahil olmak üzere birçok endüstri sektöründen organizasyonlara saldırdığı bilinmektedir.
Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (Büyük), Almanya, Avusturya, ABD, Çek Cumhuriyeti, Rusya ve Hindistan gibi diğer ülkelerde ara sıra enfeksiyonlar gördü.
Son zamanlarda Luoyu, Doğu Asya'daki şirketlerin ve Çin'de bulunan şubelerin peşinden gitmeye başladı.
Windealer'ı kullanarak Windows cihazlarını hedeflemenin yanı sıra, daha az bilinen bu hackleme grubu daha önce macOS, Linux ve Android cihazları Demsty (Terswindow) ve Spydealer Malware ile saldıran gözlemlenmiştir.
Ishimaru, "Luoyu, yalnızca en olgun saldırganlar için mevcut işlevlerden yararlanabilen son derece sofistike bir tehdit oyuncusudur. Sadece bu tür yetenekleri nasıl geliştirebildiklerine dair spekülasyon yapabiliriz."
Bilgisayar korsanları Rus Govt'u sahte pencerelerle iterek iten sıçanları hedeflemek
Çin'in "uzay korsanları" Rus havacılık firmalarını hackliyor
Microsoft: SYSRV Botnet, Windows, Linux sunucularını yeni istismarlarla hedefler
Yeni kriptomingining kötü amaçlı yazılım bir Windows ordusu oluşturur, Linux Bots
Yeni Raspberry Robin Worm, kötü amaçlı yazılımları bırakmak için Windows yükleyicisini kullanır
Kaynak: Bleeping Computer