'Tetrisphantom' olarak izlenen yeni bir sofistike tehdit, Asya-Pasifik bölgesindeki hükümet sistemlerini hedeflemek için tehlikeye atılmış güvenli USB sürücülerini kullanıyor.
Secure USB sürücüler depo dosyalarını cihazın şifreli bir kısmında ve hava kaplı bir ortamda olanlar da dahil olmak üzere sistemler arasında güvenli bir şekilde aktarmak için kullanılır.
Korunan bölüme erişim, içeriği kullanıcı tarafından sağlanan bir şifreye göre şifresini çözen özel yazılımla mümkündür. Böyle bir yazılım, USB sürücüsünün şifrelenmemiş bir kısmında bir araya gelen utetris.exe'dir.
Güvenlik araştırmacıları, en az birkaç yıldır süren ve APAC bölgesindeki hükümetleri hedef alan bir saldırı kampanyasında güvenli USB cihazlarına dağıtılan Utetris uygulamasının truva atışlarını keşfetti.
En son Kaspersky’nin Apt Trends hakkındaki raporuna göre, Tetrisphantom sofistike ve iyi kaynaklanan bir tehdit grubunu gösteren çeşitli araçlar, komutlar ve kötü amaçlı yazılım bileşenleri kullanıyor.
Kaspersky, BleepingComputer ile ek ayrıntıları paylaştı ve truva atlı Utetris uygulamasına yapılan saldırının, hedef makinede Acroshell adı verilen bir yükü yürütmekle başladığını açıkladı.
Acroshell, saldırganın Komut ve Kontrol (C2) sunucusu ile bir iletişim hattı oluşturur ve belgeleri ve hassas dosyaları çalmak için ek yükler getirebilir ve çalıştırabilir ve hedef tarafından kullanılan USB sürücüleri hakkında özel ayrıntılar toplayabilir.
Tehdit aktörleri ayrıca toplanan bilgileri XMKR ve truva atlı utetris.exe adlı başka bir kötü amaçlı yazılımın araştırma ve geliştirilmesi için kullanırlar.
"XMKR modülü bir Windows makinesine dağıtılır ve saldırıyı potansiyel olarak hava kaplı sistemlere yaymak için sisteme bağlı güvenli USB sürücülerinden ödün vermekten sorumludur" - Kaspersky
XMKR’nin cihazdaki yetenekleri, casusluk amacıyla dosyaları çalmayı içerir ve veriler USB sürücülerinde yazılır.
Meydan okulu USB hakkındaki bilgiler daha sonra depolama cihazı Acroshell ile enfekte olmuş bir bilgisayara takıldığında saldırganın sunucusuna eklenir.
Kaspersky, biri Eylül ve Ekim 2022 (sürüm 1.0) arasında kullanılan iki kötü amaçlı UTetris yürütülebilir varyantını ve diğeri Ekim 2022'den bugüne (sürüm 2.0) yerleştirildi.
Kaspersky, bu saldırıların en az birkaç yıldır devam ettiğini ve casusluk Tetrisphantom'un sürekli odağı olduğunu söylüyor. Araştırmacılar, hükümet ağlarında az sayıda enfeksiyon gözlemlediler ve hedeflenen bir operasyon gösterdi.
Discord hala kötü amaçlı yazılım aktivitesi - şimdi APT'ler eğlenceye katılıyor
Yeni Atlascross Hackers, Amerikan Kızıl Haçını Kimlik Avı Olarak Kullanıyor
Asya Hükümeti'ne karşı saldırıda kaçan Gelsemium hacker
İran Apt33, ABD Cybercom Sorunları Uyarısı tarafından sömürülen görünüm kusuru
Ragnar Locker Fidye Yazılımı Geliştiricisi Fransa'da Tutuklandı
Kaynak: Bleeping Computer