btbilgi

Uluslararası Hava Taşımacılığı Birliği’ne (IATA), birden fazla havayoluna ve çeşitli programlarla Kanada’ya göç etmeyi planlayanlara saldırılar düzenleyen yeni bir APT (advanced persistent threat) grubunun varlığı tespit edildi. Malwarebytes firmasının verdiği bilgiye bakılırsa, kimlik avı metodları ile gerçekleştirilen operasyon 2018’den beri aktif durumdaymış. ‘LazyScripter’ adı verilen suç grubunun ana hedefinin hem şimdi düzenlenen, hem de gelecekteki hedefli saldırılar için kurbanlardan bilgi ve istihbarat çalmak olduğu aktarılmakta.

Malwarebytes’ın grupla ilgili incelemesinde, LazyScripter’ın Kuzey Kore’nin Lazarus’u ve Rusya’nın APT28’i gibi başka benzer APT grupları kadar sofistike olmadığını belirtmiş. Bu gruplardan ayrılan ana özelliğinin, grubun kendi uzaktan erişim Truva atı (RAT) yazılımlarını geliştirmemesi ve operasyonlarında çoğunlukla açık kaynaklı ya da ticari olarak mevcut RAT’ları kullanması olduğu ifade edilmiş.

Rapora göre LazyScripter özellikle IATA ve havayolu firmalarına saldırmak için hedefli spam kampanyaları üzerinden yürüyor. Kurbanlara atılan yemler ise genelde IATA, havayolları veya Kanada’ya işle ilgili göç konularını içermekte. Operasyonlardan birinde, APT grubunun oltalama yemi olarak meşru bir Kanada göçmenlik web sitesini kullandığı gözlemlenmiş.

Güvenlik araştırmacıları LazyScripter’ın, uzaktan erişim sağlamaya ve kullanıcıları gözetlemeye fırsat veren kötü niyetli yazılım ‘LuminosityLink’ ve sistemlerin uzaktan kontrolünü elde etmek için devreye sokulan ‘Remcos’ yazılımlarını kullandığını saptamışlar. Bunların dışında, LazyScripter’ın kimlik avı postalarının ‘KOCTUPUS’ adı verilen bir kötü niyetli yazılım yükleyicisi içerdiği de keşfedilmiş.

APT’nin saptanabilmiş bazı ayırt edici operasyonel özellikleri arasında çok aşamalı RAT yazılımlarını kullanması, kötü niyetli yazılımları dağıtmak için komut dosyası dillerine güvenmesi, komuta ve kontrol iletişimleri için ücretsiz dinamik DNS sağlayıcılarını kullanması, ayrıca belgeleri silah haline getirmek için makrolardan ziyade gömülü nesneleri kullanması var.

Grubun araç setleri ve altyapısı üzerinde yapılan araştırmalar, grubu Rusya merkezli APT28 ve İran tehdit grubu OilRig’e benzetmekle sonuçlanmış. Ama LazyScripter’ın en çok ortak noktaya sahip olduğu grup, Orta Doğu’daki hedeflere odaklandığı bilinen İranlı siber suç grubu ‘MuddyWater’. Analizlerde her iki grubun da Empire, Koadic ve PowerShell kullandığı, her ikisinin de kötü niyetli yükleri depolamak için GitHub’a başvurduğu ortaya çıkartılmış. Her ne kadar bazı Orta Doğu kökenli gruplarla benzerlikleri olsa da, Malwarebytes raporunda LazyScripter APT grubunun Orta Doğu’da bulunduğunu doğrulamak için yeterli somut göstergeye sahip olmadıkları açıklanıyor.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.