Daha önce bilinmeyen bir devlet destekli aktör, Güney Asya'daki telekomünikasyon sağlayıcıları ve BT firmalarını hedef alan saldırılarda yeni bir araç kümesini dağıtıyor.
Grubun amacı - onu gören Symantec'teki araştırmacılar tarafından Hedefi - onu gören Symantec'teki araştırmacılar tarafından izlenen - bu, telekom ve devlet kurumlarına odaklanan yüksek hedefli casusluk kampanyalarında zeka toplamaktır.
Biçerdüzün kötü amaçlı araçları daha önce vahşi doğada görülmedi, bu, bunun bilinen rakiplere bağlantısı olmayan bir tehdit aktör olduğunu belirtti.
"Biçerdöver grubu, 2021'de 2021'de görülen en son aktivitelerde, 2021'de görülen en son aktivitelerle hem özel kötü amaçlı yazılım ve halka açık araçları kullanıyor. .
"Araçların yetenekleri, özel geliştirme ve hedeflenen mağdurlar, hepsi hasatın bir ulus-devlet destekli bir aktör olduğunu gösteriyor."
İşte Biçerdöver operatörleri tarafından saldırılarında kullanılan araçların bir özeti:
Symantec'in analistleri ilk enfeksiyon vektörünü çözemese de, bu amaç için kullanılan kötü amaçlı bir URL'nin bazı kanıtı var.
Graphon, aktörlere ağa uzaktan erişimini sağlar ve Cloudfront ve Microsoft altyapısından meşru ağ trafiğiyle komut ve kontrol (C2) iletişim aktivitesini karıştırarak varlığını kamufle eder.
Özel Downloader'ın çalıştığı şekilde ilginç bir nokta bulunur, sistemdeki gerekli dosyaları oluşturur, yeni bir yük noktası için bir kayıt defteri değeri ekleyerek ve sonunda HXXPS: // ASHEDUST [.] COM.
Her ne kadar backdoor.graphon'un alındığı nokta olarak görünse de, aktörler sadece karışıklığı teşvik etmek için bir kurtçuk olarak URL'yi kullanırlar.
Özel ekran görüntüsü aracı, masaüstünden fotoğraf çeker ve bunları grafiği ile ekilmiş olan bir şifre korumalı zip arşivine kaydeder. Her zip bir hafta boyunca tutulur, böylece bundan daha yaşlı bir şey otomatik silinir.
Symantec, biçerdöverün hala aktif olduğunu, çoğunlukla Afganistan'daki organizasyonları şu anda hedef alıyor.
Araştırmacılar yeni Grup'un araçlarını örnekleyebilse de, aktiviteyi belirli bir ulusa atfetmenin yeterli kanıtı yoktur.
Uluslararası Af Örgütleri Casus Yazılım İşlemine Siber Güvenlik Firması
Yeni UEFI Bootkit, 2012'den beri Windows aygıtlarını yedekledi
Solarwinds Hackers tarafından geliştirilen yeni tomiris backdoor
Microsoft: Nobelium, Backdoor Windows Etki Alanlarına Özel Kötü Amaçlı Yazılım Kullanıyor
Fin8 Cybercrime Gang Backdoors Bize Yeni Sardonik Malware ile Orgs
Kaynak: Bleeping Computer