Siber güvenlik araştırmacıları, NIMBDA adlı yeni bir yükleyici ve Yahoyah Trojan'ın yeni bir varyantını kullanan Çin "Tropic Trooper" hackleme grubuna atfedilen yeni bir kampanya keşfettiler.
Truva atı, telefonlara karşı hizmetin reddedilmesi (DOS) saldırıları için kullanılan ve mesajlarla dolu olan 'SMS bombardıman uçağı' adlı bir greyware aracında paketlenmiştir. Bunun gibi araçlar, sitelere karşı saldırılar başlatmak isteyen "yeni başlayan" tehdit aktörleri tarafından yaygın olarak kullanılır.
Check Point'in bir raporuna göre, tehdit aktörleri de özel bir uygulamada AES spesifikasyonunu genişleterek derinlemesine şifreleme bilgisi gösterir.
Enfeksiyon, aracın ikili ve standart işlevselliğini içeren SMS Bomber'ın kötü niyetli bir versiyonunu indirmekle başlar. Ancak, indirme bir notepad.exe işlemine enjekte eden ek kod ekleyecek şekilde değiştirildi.
İndirilen yürütülebilir, aslında SMS bombardıman uçağı simgesini kullanan ve gömülü bir yürütülebilir ürün olarak SMS bombardıman uçağı içeren 'NIMBDA' yükleyicidir.
Arka planda, yükleyici bir GitHub deposuna ulaşmak, gizlenmiş bir yürütülebilir dosyaya ulaşmak, kodunu çözmek ve daha sonra 'dllhost.exe' içindeki proses içi oyma yoluyla çalıştırmak için Shellcode'u not defteri işlemine enjekte eder.
Bu yük, ana bilgisayar hakkında veri toplayan ve C2 sunucusuna gönderen yeni Yahoyah varyantıdır. Yahoyah tarafından toplanan bilgiler aşağıdakileri içerir:
Yahoyah yürütülebilir dosyası tarafından bırakılan son yük, steganografi kullanılarak bir JPG görüntüsünde kodlanmıştır. Check Point, geçmiş kampanyalarda kullanılan bir arka kapı tropik asker olan 'TClient' olarak tanımlar.
Yahoyah'ı sarmak için kullanılan şifreleme, ters operasyonların ters çevrilmiş dizisini iki kez gerçekleştiren özel bir AES uygulamasıdır; Dolayısıyla kontrol noktası adlandırır.
Bu, şifrelemeyi daha güçlü hale getirmez, ancak örneğin analizini çok zorlaştırır, yeterince belirlenmeyen veya çalışmalarını çok daha sıkıcı hale getiren araştırmacıları cesaretlendirir.
Kontrol noktası, "Tüm bu rigmarole'den geçmek için bir analist almak, özellikle kötü amaçlı yazılım yazarının tarafındaki yetersiz maliyet için acımasız ve etkili bir başarıdır."
"Kripto ile operasyonel hale getirmeyecek şekilde karıştırmak için bilgiye ve özgüvenlere ihtiyaçları var."
Tropic Trooper, daha önce Rus yetkililere karşı kimlik avı kampanyaları yürüttüğü görülen casusluk üzerine odaklanan sofistike bir tehdit oyuncusudur.
'SMS bombası' trijansını kesin, dar hedeflemeyi gösterir, bu nedenle muhtemelen önceki casusluk sırasında toplanan zekaya dayanan bir karardır.
Kesin hedefleme kapsamı bilinmemekle birlikte, bu kampanya Tropic Trooper'ın operasyonları, kriptografik bilgileri ve kötü amaçlı yazılım geliştirme faaliyetleri için gerekli herhangi bir tuzak oluşturma yeteneğini göstermektedir.
Galyum bilgisayar korsanları arka kapı finansmanı, yeni pingpull kötü amaçlı yazılım kullanan govt orgs
Çin Hacking Grubu Aoqin Dragon sessizce casusluk orgs on yıldır
Bilgisayar korsanları Rus Govt'u sahte pencerelerle iterek iten sıçanları hedeflemek
Çin Siber-İzin Grubu Moshen Dragon Hedefleri Asya Telcos
Litvanya, hükümet sitelerine yönelik DDOS saldırılarında artış konusunda uyarıyor
Kaynak: Bleeping Computer