'Yorotrooper' adlı yeni bir tehdit oyuncusu, en azından Haziran 2022'den bu yana Siber-Teslimiyet Kampanyaları yürütüyor ve Bağımsız Devletler Topluluğu (CI) ülkelerinde hükümet ve enerji örgütlerini hedefliyor.
Cisco Talos'a göre, tehdit oyuncusu sağlık hizmetleri, Dünya Fikri Mülkiyet Örgütü (WIPO) ve çeşitli Avrupa büyükelçilikleriyle uğraşan kritik bir Avrupa Birliği ajansının açıklamalarını tehlikeye attı.
Yorotrooper'ın araçları arasında emtia ve özel bilgi çalıcılar, uzaktan erişim truva atları ve Python tabanlı kötü amaçlı yazılımların bir kombinasyonu bulunmaktadır. Enfeksiyon, kötü niyetli LNK ekleri ve tuzak PDF belgeleri içeren kimlik avı e -postaları aracılığıyla gerçekleşir.
Cisco Talos, Yorotrooper'ın hesap kimlik bilgileri, çerezler ve tarama geçmişleri de dahil olmak üzere enfekte son noktalardan büyük miktarda veriyi püskürttüğünü kanıtladığını bildiriyor.
Yorotrooper, Poetrat ve Lodarat gibi diğer tehdit aktörleriyle ilişkili kötü amaçlı yazılım kullanırken, Cisco'nun analistlerinin bunun yeni bir faaliyet kümesi olduğuna inanmak için yeterli göstergeleri var.
2022 yazında Yorotrooper, Belarus veya Rus kuruluşları olarak maskelenen e -posta alanlarından gönderilen yozlaşmış PDF dosyalarını kullanarak Belarus varlıklarını hedefledi.
Eylül 2022'de grup, Rus hükümet kuruluşlarını taklit eden birkaç yazım hatası alan adını kaydetti ve net tabanlı implantların VHDX tabanlı dağılımını denedi.
Yıl sonuna kadar izleyen aylarda, siberler odağını Belarus ve Azerbaycan'a kaydırdı ve 'Kokmuş Stealer' adlı özel bir Python tabanlı implant konuşlandırdı.
2023'te, tehdit aktörleri HTA'yı hedefin sistemine tuzak belgeleri ve damla implantları indirmek için kullandı ve Tacikistan ve Özbekistan hükümetine özel bir Python Stealer kullandı.
En son saldırılarda, kimlik avı e -postalarındaki kötü niyetli RAR veya ZIP ekleri ulusal strateji ve diplomasi ile ilgili yemleri kullanır.
LNK dosyaları, birincil yükü düşüren kötü amaçlı bir yürütülebilir dosyayı indiren uzlaşmış sistemde uzak HTA dosyalarını indirmek ve yürütmek için "mshta.exe" kullanır. Aynı zamanda, şüpheyi önlemek için otomatik olarak bir tuzak belgesi açılır.
Yorotrooper daha önce Avemaria (Warzone Rat) ve Lodarat gibi emtia kötü amaçlı yazılımlar kullanılarak görülmüştü, ancak daha sonraki saldırılarda, tehdit aktörleri Nuitka'ya sarılmış özel Python sıçanlarını kullanmaya geçti.
Nuitka, python'u cihaza yüklemeyi gerektirmeden yüklerin bağımsız uygulamalar olarak dağıtılmasına yardımcı olur.
Özel sıçan, komut ve kontrol sunucusu iletişimi ve veri açığa çıkma için telgraf kullanır ve enfekte olmuş cihazda keyfi komutları çalıştırmayı destekler.
Ocak 2023'te Yorotrooper, Chrome Web tarayıcılarında depolanan hesap kimlik bilgilerini çıkarmak ve bunları bir telgraf botu aracılığıyla söndürmek için Python tabanlı bir Stealer komut dosyası kullandı.
Şubat 2023'te, saldırganlar 'Stink' adlı yeni bir modüler kimlik bilgisi çalkayı bırakmaya başladı.
Kokuş, krom tabanlı tarayıcılardan verileri kimlik bilgileri, yer imleri ve göz atma, aynı zamanda ekran görüntüleri çekebilir ve Filezilla, Discord ve Telegram'dan veri çalabilir. Buna ek olarak, donanım, işletim sistemi ve çalışma işlemleri gibi temel sistem bilgileri de numaralandırılır ve eklenir.
Çalınan tüm veriler geçici olarak enfekte sistemdeki bir dizinde saklanır ve sonunda sıkıştırılır ve tehdit aktörlerine gönderilir.
Kokuşun performansı, veri toplama işlemini hızlandırmak için ayrı işlemci iş parçacıkları kullanarak tüm Python modüllerini kendi bireysel işlemlerinde çalıştırarak arttırılır.
Yukarıdakilerin yanı sıra, Yorotrooper Python tabanlı ters kabuklar ve sınırlı vesilelerle dağıtılan C tabanlı bir keylogger kullandı.
Yorotrooper bilinmiyor ve sponsorları veya ilişkileri karanlık kalıyor.
Bununla birlikte, Casusluk Tehdit Grubu'nun özel kötü amaçlı yazılım araçlarını kullanması, becerikli ve bilgili tehdit aktörleri olduklarını göstermektedir.
Purecrypter kötü amaçlı yazılım, fidye yazılımları ile govt orgs, info-starers ile vuruyor
Ukrayna'da yeni Graphiron Information Stealer kullanan Rus hackerlar
Ürün yazılımı yükseltmelerinden kurtulan kötü amaçlı yazılımlarla enfekte olan Sonicwall cihazları
Rig Suploit Kiti hala Internet Explorer aracılığıyla kurumsal kullanıcıları enfekte ediyor
Cliniopa Hackers, hedefli saldırılarda yeni Atharvan kötü amaçlı yazılım kullanıyor
Kaynak: Bleeping Computer