Siber güvenlik araştırmacıları, kötü şöhretli DarkGate uzaktan erişim truva atı (RAT) ile Ducktail bilgi hırsızlığının arkasındaki Vietnam merkezli finansal siber suç operasyonu arasında bir bağlantı olduğunu ortaya çıkardı.
WithSecure araştırmacıları, Ducktail'in 2022'deki faaliyeti tespit edildi, İngiltere, ABD ve Hindistan'daki kuruluşlara yönelik çok sayıda enfeksiyon girişimini tespit ettikten sonra DarkGate ile ilgili soruşturmalarına başladı.
"Cazibe belgelerinin ve hedeflemenin yakın zamandaki Ördek Kuyruğu bilgi hırsızlığı kampanyalarına çok benzediği hızla ortaya çıktı ve DarkGate kampanyasındaki açık kaynak veriler üzerinden büyük olasılıkla aynı aktör/grup tarafından kullanılan birden fazla diğer bilgi hırsızlığına geçiş yapmak mümkün oldu. Raporda şunlar kaydedildi:
DarkGate'in Ördek Kuyruğu ile Bağları
DarkGate: arka kapı kötü amaçlı yazılımı bilgi çalma, kripto hırsızlığı ve kötü amaçlı yazılım dağıtmak için Skype, Teams ve Mesajlar'ı kullanma dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirebilir.
Kötü amaçlı yazılım, virüslü cihazlardan kullanıcı adları, şifreler, kredi kartı numaraları ve diğer hassas bilgiler dahil olmak üzere çeşitli verileri çalabilir ve kullanıcının bilgisi veya izni olmadan virüslü cihazlarda kripto para madenciliği yapmak için kullanılabilir.
Virüs bulaşmış cihazlara fidye yazılımı dağıtmak, kullanıcının dosyalarını şifrelemek ve şifreyi çözmek için fidye ödemesi talep etmek için kullanılabilir.
WithSecure kıdemli tehdit istihbaratı analisti Stephen Robinson, DarkGate kötü amaçlı yazılım işlevselliğinin 2018'deki ilk raporlamadan bu yana yüksek düzeyde değişmediğini açıklıyor.
"Her zaman bir İsviçre çakısı, çok işlevli bir kötü amaçlı yazılım olmuştur" diyor. "Bununla birlikte, o zamandan bu yana yazar tarafından defalarca güncellendi ve değiştirildi; bunun, bu kötü amaçlı işlevlerin uygulanmasını geliştirmek ve AV/Kötü Amaçlı Yazılım algılama silahlanma yarışına ayak uydurmak olduğunu varsayabiliriz."
DarkGate kampanyalarının (ve bunların arkasındaki aktörlerin), kimi hedeflediklerine, kullandıkları yemlere ve enfeksiyon vektörlerine ve hedef üzerindeki eylemlerine göre farklılaşabileceğini belirtiyor.
Robinson, "Raporun odaklandığı belirli Vietnam kümesi, birden fazla kötü amaçlı yazılım türü kullanan birden fazla kampanya için aynı hedeflemeyi, dosya adlarını ve hatta yem dosyalarını kullandı" diyor.
Oluşturulan her dosyaya kendi meta verilerini ekleyen çevrimiçi bir hizmeti kullanarak PDF yem dosyaları oluşturdular; bu meta veriler farklı kampanyalar arasında daha güçlü bağlantılar sağladı.
Ayrıca aynı cihazda birden fazla kötü amaçlı LNK dosyası oluşturdular ve meta verileri silmediler, böylece daha fazla etkinliğin kümelenmesine olanak tanıdılar.
DarkGate ve Ducktail arasındaki korelasyon, yem dosyaları, hedefleme modelleri ve dağıtım yöntemleri gibi teknik olmayan işaretleyicilerin 15 sayfalık bir belgede derlenmesiyle belirlendi. rapor.
"Yem dosyaları ve meta veriler gibi teknik olmayan göstergeler son derece etkili adli ipuçlarıdır. Kurbanları kötü amaçlı yazılımı çalıştırmaya ikna etmek için yem görevi gören Lure dosyaları, bir saldırganın çalışma şekli, potansiyel hedefleri ve gelişen teknikleri hakkında paha biçilmez bilgiler sunuyor," diye açıklıyor Critical Start'ta siber tehdit araştırması kıdemli yöneticisi Callie Guenther.
Benzer şekilde, "LNK Drive ID" gibi bilgiler veya Canva gibi hizmetlerden alınan ayrıntılar gibi meta veriler, farklı saldırılar veya belirli aktörler karşısında kalıcı olabilecek fark edilebilir izler veya modeller bırakabilir.
"Bu tutarlı modeller, analiz edildiğinde çeşitli kampanyalar arasındaki boşluğu kapatabilir ve kötü amaçlı yazılımın teknik ayak izi farklı olsa bile araştırmacıların bunları ortak bir faile atfetmelerine olanak tanır" diyor.
Menlo Security'nin siber güvenlik uzmanı Ngoc Bui, aynı tehdit aktörleriyle bağlantılı farklı kötü amaçlı yazılım aileleri arasındaki ilişkileri anlamanın çok önemli olduğunu söylüyor.
Bui, "Daha kapsamlı bir tehdit profili oluşturmaya ve bu tehdit aktörlerinin taktiklerini ve motivasyonlarını belirlemeye yardımcı oluyor" diyor.
Örneğin, araştırmacılar DarkGate, Ducktail, Lobshot ve Redline Stealer arasında bağlantılar bulurlarsa, tek bir aktörün veya grubun birden fazla kampanyaya dahil olduğu sonucuna varabilirler, bu da yüksek düzeyde karmaşıklık anlamına gelir.
Bui, "Ayrıca, fidye yazılımı kampanyalarında ve çabalarında gördüğümüz gibi, analistlerin birden fazla tehdit grubunun birlikte çalışıp çalışmadığını belirlemesine de yardımcı olabilir" diye ekliyor Bui.
MaaS Siber Tehdit Ortamını Etkiliyor
Bui, DarkGate'in bir hizmet olarak kullanılabilirliğinin siber güvenlik ortamı üzerinde önemli etkileri olduğuna dikkat çekiyor.
Bui, "Teknik uzmanlığa sahip olmayan, hevesli siber suçluların giriş engelini azaltıyor" diye açıklıyor. "Sonuç olarak, daha fazla kişi veya grup DarkGate gibi karmaşık kötü amaçlı yazılımlara erişip bunları dağıtabilir ve bu da genel tehdit düzeyini artırır."
Bui, hizmet olarak kötü amaçlı yazılım (MaaS) tekliflerinin siber suçlulara saldırı gerçekleştirmek için uygun ve uygun maliyetli bir araç sağladığını ekliyor.
Bir siber güvenlik analisti için bu durum bir zorluk teşkil ediyor çünkü sürekli olarak yeni tehditlere uyum sağlamaları ve birden fazla tehdit aktörünün aynı kötü amaçlı yazılım hizmetini kullanma olasılığını dikkate almaları gerekiyor.
Ayrıca, kötü amaçlı yazılımı kullanan tehdit aktörünün takibini biraz daha zorlaştırabilir çünkü kötü amaçlı yazılımın kendisi, kötü amaçlı yazılımı kullanan tehdit aktörüne değil, geliştiriciye geri dönebilir.
Savunmada Paradigma Değişimi
Günther, modern, sürekli gelişen siber tehdit ortamını daha iyi anlamak için savunma stratejilerinde paradigma değişikliğinin gecikmiş olduğunu söylüyor.
"Yapay zeka ve makine öğreniminden yararlanmanın yanı sıra davranış temelli algılama dizilerini benimsemek, imza tabanlı yöntemlerin önceki sınırlamalarını aşarak anormal ağ davranışlarının tanımlanmasına olanak tanıyor" diyor.
Ayrıca, tehdit istihbaratını bir havuzda toplamak ve sektör genelinde ortaya çıkan tehditler ve taktikler hakkında iletişimi teşvik etmek, erken tespit ve hafifletmeyi kolaylaştırabilir.
Günther, "Ağ yapılandırmalarını ve sızma testlerini kapsayan düzenli denetimler, güvenlik açıklarını önceden ortaya çıkarabilir" diye ekliyor. "Ayrıca, çağdaş tehditleri ve kimlik avı vektörlerini tanıma konusunda eğitilmiş, iyi bilgilendirilmiş bir iş gücü, bir kuruluşun ilk savunma hattı haline gelerek risk oranını önemli ölçüde azaltır."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 2018
- 7
- a
- Yapabilmek
- Hakkımızda
- erişim
- karşısında
- Hareket
- eylemler
- faaliyetler
- etkinlik
- aktörler
- uyarlamak
- Ekler
- Sonra
- karşı
- AI
- veriyor
- Ayrıca
- her zaman
- an
- analist
- Analistler
- analiz
- ve
- bariz
- ARE
- silah
- AS
- can atan
- üstlenmek
- At
- saldırılar
- Denemeler
- denetimler
- yazar
- kullanılabilirliği
- Arka
- yem
- bariyer
- BE
- oldu
- Çünkü
- olur
- olmuştur
- davranışları
- arkasında
- olmak
- Daha iyi
- arasında
- KÖPRÜ
- bina
- by
- Kampanya
- Kampanyalar
- CAN
- yetenekli
- kart
- katalize
- meydan okuma
- değişmiş
- Küme
- ortak
- Yakın İletişim
- idrak
- kapsamlı
- sonucuna
- Davranış
- bağ
- Bağlantılar
- rıza
- Düşünmek
- tutarlı
- çağdaş
- sürekli olarak
- Uygun
- Ilişki
- uygun maliyetli
- çevrimiçi kurslar düzenliyorlar.
- kredi
- kredi kartı
- kritik
- cryptocurrency
- Cryptojacking
- Siber
- Siber suç
- siber suçluların
- Siber güvenlik
- veri
- azalmak
- Savunma
- teslim etmek
- teslim
- talep
- dağıtmak
- ayrıntılar
- Bulma
- Belirlemek
- kararlı
- Geliştirici
- cihaz
- Cihaz
- DID
- farklı
- farklılaşmış
- zor
- dağıtmak
- evraklar
- sürücü
- her
- Erken
- çabaları
- kucaklama
- etkinleştirme
- kapsayan
- giriş
- gerekli
- Hatta
- gelişen
- örnek
- yürütme
- uzman
- Uzmanlık
- açıklar
- aileleri
- fileto
- dosyalar
- mali
- bulmak
- Ad
- odaklanır
- ayak izi
- İçin
- Adli
- teşvik
- itibaren
- işlevsellik
- fonksiyonlar
- daha fazla
- boşluk
- verdi
- grup
- Grubun
- Var
- he
- yardım et
- yardımcı olur
- Yüksek
- büyük ölçüde
- HTTPS
- ID
- Kimlik
- belirlenmesi
- if
- etkili
- Etkiler
- uygulama
- etkileri
- iyileştirmek
- in
- Dahil olmak üzere
- artan
- Hindistan
- göstergeler
- bireyler
- sanayi
- bilgi
- ilk
- anlayışlar
- İstihbarat
- içine
- paha biçilmez
- soruşturma
- ilgili
- IT
- ONUN
- kendisi
- jpg
- tutmak
- bilgi
- Eksiklik
- manzara
- Ayrılmak
- seviye
- kaldıraç
- sevmek
- Muhtemelen
- sınırlamaları
- çizgi
- bağlantılı
- bağlantılar
- küçük
- yapmak
- kötü amaçlı yazılım
- Hizmet Olarak Kötü Amaçlı Yazılım (MaaS)
- müdür
- Mayıs..
- anlamına geliyor
- mesajları
- Metadata
- yöntemleri
- olabilir
- hafifletme
- ML
- Modern
- değiştirilmiş
- Tarz
- Daha
- Dahası
- motivasyonları
- çoklu
- şart
- isimleri
- ağ
- yeni
- ünlü
- notlar
- adı çıkmış
- sayılar
- of
- teklif
- teklifleri
- on
- ONE
- Online
- açık
- açık kaynak
- operasyon
- or
- kuruluşlar
- organizasyonlar
- Diğer
- dışarı
- tüm
- kendi
- paradigma
- şifreleri
- desen
- ödeme
- nüfuz
- Kimlik avı
- Pivot
- Platon
- Plato Veri Zekası
- PlatoVeri
- noktaları
- pozlar
- olasılık
- mümkün
- potansiyel
- önceki
- Profil
- sağlamak
- Yarış
- menzil
- Fidye
- fidye
- hızla
- SIÇAN
- son
- tanıma
- azaltarak
- düzenli
- İlişkiler
- uzak
- uzaktan erişim
- DEFALARCA
- rapor
- Raporlama
- araştırma
- Araştırmacılar
- sonuç
- Risk
- s
- Adı geçen
- aynı
- diyor
- güvenlik
- görmek
- kıdemli
- hassas
- hizmet
- Hizmetler
- o
- çalışma
- önemli
- benzer
- beri
- tek
- Skype
- sofistike
- yapmacıklık
- Kaynak
- özel
- başlama
- başladı
- Stephen
- Suşlar
- stratejileri
- güçlü
- esasen
- böyle
- Önerdi
- aşarak
- taktik
- Hedef
- hedefleme
- hedefler
- takım
- Teknik
- teknikleri
- testleri
- göre
- o
- The
- UK
- ve bazı Asya
- Onları
- sonra
- Bunlar
- onlar
- Re-Tweet
- Bu
- tehdit
- tehdit aktörleri
- tehditler
- İçinden
- Kravatlar
- için
- birlikte
- Takip
- eğitilmiş
- Truva
- Uk
- açık
- anlayış
- güncellenmiş
- us
- Kullanılmış
- kullanıcı
- kullanma
- çeşitlilik
- sektörler
- çok
- kurbanlar
- Vietnam
- güvenlik açıkları
- oldu
- we
- İYİ
- vardı
- ne zaman
- hangi
- DSÖ
- geniş
- Geniş ürün yelpazesi
- silme
- ile
- olmadan
- işgücü
- çalışma
- zefirnet