Yeni bir Hiatusrat kötü amaçlı yazılım kampanyasında, tehdit aktörleri araştırmacıların keşif saldırısı olarak tanımladığı şeyde ABD Savunma Bakanlığı'na ait bir sunucuyu hedef aldı.
Bu, taktiklerde önemli bir değişimdir, bu da daha önce Latin Amerika ve Avrupa'dan gelen kuruluşlara odaklandığını, iş sınıfı Draytek Vigor VPN yönlendiricilerini, orta ölçekli işletmeler tarafından kurumsal ağlara uzaktan bağlantı kurmak için kullandıkları konusunda uzlaştırmak için konuşlandırıldığını görüyor.
Bununla birlikte, Lumen'in Black Lotus Labs'ın gözlemlediği gibi, kampanyanın keşif çabaları Haziran ortasına kadar Ağustos ayına kadar beklenmedik bir dönüş yaptı. Tayvan merkezli kuruluşlar da seçildi.
Hiatusrat örnekleri, ARM, Intel 80386 ve X86-64 ile MIPS, MIPS64 ve I386) arasında çeşitli mimarilere hitap etmek için yeniden derlendi ve yeni edinilen sanal özel sunucularda (VPS) barındırıldı.
Bu VPS düğümlerinden biri, sözleşme teklifleri ve gönderimleri için belirlenmiş bir ABD askeri sunucusu ile veri aktarım işleminde kullanıldı.
Web sitesinin sözleşme tekliflerine olan bağlılığı, saldırganların askeri gereklilikler hakkında kamuya açık erişilebilir bilgiler aradığını veya Savunma Sanayi Üssü (DIB) bağlı kuruluşlar hakkında bilgi bulmaya çalışabileceğini göstermektedir.
Lumen'in Black Lotus Labs, "Bu aktörün mevcut ve gelecekteki askeri sözleşmelerle ilgili halka açık kaynaklar aradığından şüpheleniyoruz." Dedi.
Diyerek şöyle devam etti: "Bu web sitesinin sözleşme teklifleriyle ilişkili olduğu göz önüne alındığında, amacın askeri gereksinimler hakkında kamuya açık bilgiler elde etmek ve savunma sanayi tabanında (DIB) yer alan kuruluşları araştırmak, potansiyel olarak sonraki hedefleme için olduğundan şüpheleniyoruz."
Bu kampanya, çoğunlukla Avrupa, Kuzey Amerika ve Güney Amerika'dan, gizli bir proxy ağı oluşturmak için Hiatusrat ile enfekte olduğu daha önceki bir dizi saldırı izliyor.
Kötü amaçlı yazılım öncelikle enfekte olmuş cihazlara ek yükler yüklemek ve tehlikeye atılan sistemleri komut ve kontrol sunucusu iletişimi için SOCKS5 vekillerine dönüştürmek için kullanılır.
Lumen, "Önceki araç ve yetenek açıklamalarına rağmen, tehdit oyuncusu, C2 altyapılarını yeniden yapılandırmaya çalışmadan mevcut yük sunucularını değiştirmek ve operasyonlarına devam etmek için en küçük adımları attı." Dedi.
Lümenin öne çıktığı gibi, bilgi toplama ve hedefleme tercihlerindeki bu değişim, 2023 ODNI yıllık tehdit değerlendirmesi tarafından vurgulanan bir bağlantı olan Çin stratejik çıkarlarıyla uyumludur.
ABD örgütleri de son zamanlarda Volt Typhoon ve Storm-0558 dahil olmak üzere diğer Çin destekli tehdit gruplarına bağlı saldırıları hedef aldı.
Lumen, "Hiatusrat kümesinin, ABD Savunma Sanayi Üssü'ne cezasızlık duygusu ile uygulanabilecek başka bir ticari aracın başka bir örneği olarak hizmet ettiğinden şüpheleniyoruz. Savunma yüklenicilerinin dikkatini çekmesini ve ağ cihazlarını hiatusrat varlığı için izlemelerini öneriyoruz."
Yeni kötü amaçlı yazılım, veri hırsızlığı için iş yönlendiricilerini enfekte eder, gözetim
Fin8 siber suçlu çetesi backround, yeni Sardonik kötü amaçlı yazılımlarla orgs orgs
Carderbee Hacking Group Tedarik Zinciri Saldırısında Hong Kong Orgs'a vuruyor
Google Chrome, yüklü uzantılar kötü amaçlı yazılımdır
Mykings botnet hala aktif ve büyük miktarda para kazanıyor
Kaynak: Bleeping Computer