Vietnamlı Bilgisayar Korsanları İngiltere, ABD ve Hindistan’ı Hedef Alıyor
İngiltere, ABD ve Hindistan’daki varlıkları hedef alan DarkGate emtia kötü amaçlı yazılımlarından yararlanan saldırılar, kötü niyetli Ducktail stealer hırsızının kullanımıyla ilişkili Vietnamlı aktörlerle ilişkilendirildi.
WithSecure bugün yayınlanan bir raporda Vietnamlı Bilgisayar Korsanları , “Araçların ve kampanyaların örtüşmesi büyük olasılıkla bir siber suç pazarının etkilerinden kaynaklanıyor” dedi. “Tehdit aktörleri aynı amaç için birden fazla farklı araç edinebilir ve kullanabilir ve tek yapmaları gereken hedefleri belirlemek.”
Gelişme, son aylarda darkgate’i kullanan kötü amaçlı yazılım kampanyalarındaki artışın ortasında, öncelikle yazarının 2018’den beri özel olarak kullandıktan sonra diğer tehdit aktörlerine hizmet olarak kötü amaçlı yazılım (MaaS) temelinde kiralama kararından kaynaklanıyor.
Sadece DarkGate ve Ducktail stealer değil, çünkü bu kampanyalardan sorumlu Vietnamlı tehdit aktörü kümesi, LOBSHOT ve RedLine Hırsızı da sunmak için aynı veya çok benzer cazibelerden, temalardan, hedeflemeden ve dağıtım yöntemlerinden yararlanıyor.
İlginizi çekebilecek yazımız: Pro-Rus Hackerlar Winrar Açığı ile Fidye Saldırısı Yapıyor
Darkgate’i dağıtan saldırı zincirleri, kimlik avı e-postaları veya Skype veya Microsoft Teams’deki iletiler aracılığıyla gönderilen bir Visual Basic Komut Dosyası aracılığıyla alınan AutoIt komut dosyalarının kullanılmasıyla karakterize edilir. AutoIt komut dosyasının yürütülmesi, Dark Gate’in konuşlandırılmasına yol açar.
Ancak bu durumda, ilk güvenlik açığı, Ducktail stealer oyuncuları tarafından yaygın olarak kullanılan bir teknik olan Google Drive’da barındırılan bir dosyaya yönlendiren bir LinkedIn mesajıydı.
Ducktail stealer bir hırsız olarak işlev görürken, DarkGate, arka kapı erişimi için güvenliği ihlal edilen ana bilgisayarlarda gizli kalıcılık sağlayan bilgi çalma yeteneklerine sahip bir uzaktan erişim truva atıdır (RAT).
Withsecure’in kıdemli tehdit istihbarat analisti güvenlik araştırmacısı Stephen Robinson, “DarkGate uzun süredir var ve birçok grup tarafından yalnızca Vietnam’daki bu grup veya küme için değil, farklı amaçlar için kullanılıyor” dedi.
“Bunun tersi, aktörlerin aynı kampanya için birden fazla araç kullanabilmeleridir, bu da faaliyetlerinin gerçek kapsamını tamamen kötü amaçlı yazılım tabanlı analizlerden gizleyebilir.”
Haber Kaynağı: The Hacker News