Kaspersky araştırmacıları, başlangıçta Orta Doğu’daki bir kamu kurumunu hedef alan ve halen devam eden yeni bir kötü amaçlı kampanya keşfetti. Daha fazla araştırma, bu kampanyada aktif olarak kullanılan ve mağduriyet alanını APAC, Avrupa ve Kuzey Amerika’ya genişlettiği iddia edilen 30’dan fazla kötü amaçlı yazılım örneğini ortaya çıkardı. DuneQuixote olarak adlandırılan kötü amaçlı yazılım dizisi, siber casusluk nihai hedefiyle, kalıcılığı artırmak ve tespit edilmekten kaçınmak için İspanyol şiirlerinden alınmış dizeler içeriyor.
Kaspersky uzmanları, devam eden kötü amaçlı etkinlik takibinin bir parçası olarak, Şubat 2024’te Orta Doğu’daki bir devlet kurumunu hedef alan, daha önce bilinmeyen bir siber casusluk kampanyasını ortaya çıkardı. Saldırgan, gizlilik ve kalıcılık için tasarlanmış, sofistike bir şekilde hazırlanmış bir dizi araç kullanarak hedefini gizlice gözetliyor ve hassas verileri topluyor.
Frontier, 25 eyalette milyonlarca tüketici ve işletmeye fiber optik ağ üzerinden gigabit internet hızları sağlayan ABD’nin önde gelen iletişim sağlayıcılarından birisi. Siber saldırı alan firma olayı keşfettikten sonra, tehdit aktörlerinin…
Total Commander uygulamasının içine saklanıyor
Kötü amaçlı yazılımın ilk taşıyıcıları kendilerini Total Commander adlı yasal bir araç için tahrif edilmiş yükleyici dosyaları şeklinde gizliyor. Bu taşıyıcıların içinde bir örnekten diğerine değişen, İspanyol şiirlerinden alınma dizeler gömülüyor. Bu teknik, her bir örneğin farklı bir imzaya sahip olmasını sağlayarak geleneksel metodolojiler tarafından tespit edilmesini zorlaştırmayı amaçlıyor.
Taşıyıcı içinde CR4T adlı bir arka kapı şeklinde ek yükler indirmek için tasarlanmış kötü amaçlı kod bulunuyor. C/C++ ve GoLang dillerinde geliştirilen bu arka kapılar, saldırganlara kurbanın makinesine erişim izni vermeyi amaçlıyor. Özellikle, GoLang varyantı, komuta ve kontrol iletişimi için Telegram API’sini kullanıyor ve genel Golang telegram API bağlantılarını devreye alıyor.
Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Sergey Lozhkin, “Kötü amaçlı yazılımın varyasyonları, bu kampanyanın arkasındaki tehdit aktörlerinin yeni koşullara uyum sağlama becerisini gösteriyor. Şu anda bu tür iki implant keşfettik, ancak başka implantların varlığından da şüpheleniyoruz” diyor.
Kaspersky telemetrisi, Şubat 2024’te Orta Doğu’da kampanyanın bir kurbanını tespit etti. Ayrıca aynı kötü amaçlı yazılımın yarı halka açık bir kötü amaçlı yazılım tarama hizmetine yüklenmesi, 2023’ün sonunda 30’dan fazla gönderimin yolunu açtı. VPN çıkış düğümleri olduğundan şüphelenilen diğer kaynaklar Güney Kore, Lüksemburg, Japonya, Kanada, Hollanda ve ABD’de bulunuyor.
Yeni DuneQuixote kampanyası hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edebilirsiniz.
