Darkgate kötü amaçlı yazılım enfeksiyonlarını zorlayan gelişmiş bir kimlik avı kampanyası, Pikabot kötü amaçlı yazılımları karışıma ekledi ve Qakbot operasyonunun parçalanmasından bu yana en gelişmiş kimlik avı kampanyası yaptı.
Kötü niyetli e -posta kampanyası, FBI ele geçirip QBOT'un (Qakbot) altyapısını devraldıktan sonra Eylül 2023'te başladı.
COFENSE tarafından yapılan yeni bir raporda, araştırmacılar Darkgate ve Pikabot kampanyalarının önceki Qakbot kampanyalarına benzer taktikler ve teknikler kullandıklarını açıklıyor ve bu da QBOT tehdit aktörlerinin şimdi daha yeni kötü amaçlı botnetlere geçtiğini gösteriyor.
QBOT, e -posta yoluyla dağıtılan en yaygın kötü amaçlı yazılım botnetlerinden biri olduğundan ve hem Darkgate hem de Pikabot, QBOT ile aynı özelliklerin çoğuna sahip modüler kötü amaçlı yazılım yükleyicileri olduğundan, bu işletme için korkunç bir risk oluşturur.
QBOT gibi, yeni kötü amaçlı yazılımcılar, tehdit aktörleri tarafından ağlara ilk erişim elde etmek için kullanılacak ve fidye yazılımı, casusluk ve veri hırsızlığı saldırıları gerçekleştirecek.
Geçen yaz boyunca, Darkgate kötü amaçlı yazılımları iten kötü niyetli e -postalarda büyük bir artış oldu ve tehdit aktörleri Ekim 2023'te birincil yük olarak Pikabot'u kurmaya geçti.
Kimlik avı saldırısı, alıcıların iletişimi güvenle tedavi etme olasılığını artıran çalınan bir tartışma konusunun yanıtı veya ileriye dönük bir e -posta ile başlar.
Gömülü URL'yi tıklayan kullanıcılar, geçerli hedefler olduğunu doğrulayan bir dizi kontrolden geçer ve daha sonra hedefi, son yükü uzak bir kaynaktan getiren bir kötü amaçlı yazılım damlası içeren bir fermuar arşivi indirmeyi ister.
CoFense, saldırganların hangisinin en iyi çalıştığını belirlemek için birden fazla ilk kötü amaçlı yazılım damlası denediğini bildirdi:
Bu saldırılarda kullanılan son yük, Eylül 2023'e kadar Darkgate kötü amaçlı yazılımıydı ve bu da Ekim 2023'te Pikabot aldı.
Darkgate ilk olarak 2017'de belgelendi, ancak geçen yaz sadece daha geniş siber suç topluluğuna ulaştı ve kimlik avı ve kötü niyetli dağılımında bir artışla sonuçlandı.
Uzaktan erişim için HVNC, kripto para madenciliği, ters kabuk, keyloglama, pano çalma ve bilgi çalma (dosyalar, tarayıcı verileri) dahil olmak üzere çeşitli kötü amaçlı davranışları destekleyen gelişmiş bir modüler kötü amaçlı yazılımdır.
Pikabot, ilk olarak 2023'ün başlarında, kapsamlı anti-debugging, anti-VM ve anti-emülasyon mekanizmalarını içeren bir yükleyici ve çekirdek modülden oluşan daha yeni bir kötü amaçlı yazılımdır.
Kötü amaçlı yazılım, sistemlere enfekte olmuş ve verileri komut ve kontrol (C2) altyapısına göndererek daha fazla talimat bekler.
C2, kötü amaçlı yazılımlara DLL veya PE dosyaları, kabuk kodu veya komut satırı komutları şeklinde modülleri indirme ve yürütme talimatlarını gönderir, bu nedenle çok yönlü bir araçtır.
CoFense, Pikabot ve Darkgate kampanyalarının yetenekleri sıradan kimlikçilerin üstünde olan bilgili tehdit aktörleri tarafından yürütüldüğü konusunda uyarıyor, bu nedenle kuruluşlar bu kampanya için TTP'lerle tanışmalıdır.
Microsoft Teams kimlik avı saldırısı Darkgate kötü amaçlı yazılımları zorluyor
LinkedIn Push Darkgate kötü amaçlı sahte Corsair iş teklifleri
Darkgate kötü amaçlı yazılım, tehlikeye atılan Skype hesaplarından yayılıyor
Yeni Bunnyloader tehdidi, hizmet olarak zengin bir kötü amaçlı yazılım olarak ortaya çıkıyor
Qakbot Botnet 700.000'den fazla bilgisayarı bulaştıktan sonra söküldü
Kaynak: Bleeping Computer