Asyncrat kötü amaçlı yazılımları seçmek için sağlayan bir kampanya, yüzlerce benzersiz yükleyici örneği ve 100'den fazla alan kullanılarak en azından son 11 aydır aktif olmuştur.
Asyncrat, 2019'dan beri kamuya açık olan, uzaktan komut yürütme, keyloglama, veri eksfiltrasyonu ve ek yükler bırakma işlevleri olan Windows için açık kaynaklı bir uzaktan erişim aracıdır (sıçan).
Araç, siber suçlular tarafından yıllar boyunca, olduğu gibi veya değiştirilmiş formda, hedefe bir dayanak oluşturmak, dosyaları ve verileri çalmak ve ek kötü amaçlı yazılım dağıtmak için yoğun bir şekilde kullanılmıştır.
Microsoft güvenlik araştırmacısı Igal Lytzki, geçen yaz kaçırılan e -posta konuları üzerinden teslim edilen saldırıları fark etti, ancak son yükü alamadı.
Eylül ayında, AT & T'nin Alien Labs araştırmacı ekibi "kimlik avı e -postalarında bir artış, belirli şirketlerdeki belirli bireyleri hedefliyor" fark etti ve araştırmaya başladı.
Saldırılar, gizlenmiş bir JavaScript ve PowerShell komut dosyalarını indiren bir SVG dosyasına yol açan bir GIF eki taşıyan kötü niyetli bir e -posta ile başlar.
Bazı ön kutulama önleme kontrollerini geçtikten sonra, yükleyici komut ve kontrol (C2) sunucusu ile iletişim kurar ve kurbanın asenkrat enfeksiyon için uygun olup olmadığını belirler.
Sabit kodlanmış C2 alanları, kripto para biriminde anonim ödemelere izin veren bir hizmet olan Bitlaunch'ta barındırılır, siber suçlular için yararlı bir seçenektir.
Yükleyici, bir analiz ortamında çalıştığını belirlerse, muhtemelen güvenlik araştırmacılarını ve tehdit algılama araçlarını yanıltma amacıyla tuzak yüklerini dağıtır.
Yükleyici tarafından kullanılan anti-sandBoxing sistemi, sistem bilgileri ayrıntılarını alan ve sanal bir makinede çalışıp çalışmadığını gösteren bir puanı hesaplayan PowerShell komutları aracılığıyla gerçekleştirilen bir dizi doğrulama içerir.
AT&T Alien Labs, tehdit oyuncusunun son 11 ay içinde 300 benzersiz yükleyici örneği kullandığını belirledi, her biri kod yapısı, gizleme ve değişken adları ve değerlerinde küçük değişiklikler yaptı.
Araştırmacılardan bir başka gözlem, her Pazar yeni C2 alanları üreten bir alan üretimi algoritması (DGA) kullanılmasıdır.
AT&T Alien Labs'ın bulgularına göre, kampanyada kullanılan alanlar belirli bir yapıyı takip eder: “üst” tld'dedir, sekiz rastgele alfasayısal karakter kullanır, nicenic.net'e kaydedilir, ülke kodu için Güney Afrika'yı kullanın ve Digitalocean'da barındırıldı.
AT&T, etki alanı oluşturma sisteminin arkasındaki mantığı kodlayabildi ve hatta Ocak 2024 boyunca oluşturulacak ve kötü amaçlı yazılımlara atanacak alanları tahmin etti.
Araştırmacılar, saldırıları belirli bir düşmana bağlamadılar, ancak bu "tehdit aktörlerinin örnekleri gizleme çabasıyla belirtildiği gibi takdire değer verdiğini" unutmayın.
Alien Labs ekibi, şirketlerin bu asycrat kampanyasıyla ilişkili müdahaleleri tespit etmek için kullanabileceği Suricata ağ analizi ve tehdit algılama yazılımı için imzalarla birlikte bir dizi uzlaşma göstergesi sunmaktadır.
Kripto Cüzdan Kurucu Sahte AirDrop Web Sitesine 125.000 $ kaybetti
FTC, AI özellikli ses klonlamasını tespit etmek için 25.000 dolarlık ödül sunuyor
Rus askeri bilgisayar korsanları Ukrayna'yı yeni masepie kötü amaçlı yazılımlarla hedefleyin
Kripto drenajı Twitter'da 63 bin kişiden 59 milyon dolar çaldı.
Yeni kimlik avı saldırısı, Instagram yedekleme kodlarınızı 2FA'yı atlamak için çalıyor
Kaynak: Bleeping Computer