siber-2
05 Eki 2023Haber odasıSiber Casusluk / Siber Tehdit
Guyana’daki bir hükümet kurumu, siber casusluk kampanyası kapsamında hedef alındı
ESET, “Tehdit aktörleri e-postalarını özellikle seçtikleri kurban organizasyonu ikna etmek için hazırladıklarından bu kampanya hedef alındı
“Başlangıçta sınırlı sayıdaki makineyi DinodasRAT ile başarılı bir şekilde riske attıktan sonra, operatörler içeriye doğru ilerlediler ve hedefin dahili ağını ihlal ederek bu arka kapıyı yeniden açtılar
“Kurbanın ağına ilk erişim sağlamak için kullanılan hedef odaklı kimlik avı e-postalarına dayanarak operatörler, operasyonlarının başarı olasılığını artırmak için kurbanlarının jeopolitik faaliyetlerini takip ediyor
Slovak siber güvenlik firması, saldırıyı bilinen bir tehdit aktörü veya grubuyla ilişkilendirebileceğini söyledi ancak Çinli bilgisayar korsanlığı ekipleri tarafından yaygın olarak kullanılan bir uzaktan erişim truva atı olan PlugX (diğer adıyla Korplug) kullanımı nedeniyle Çin bağlantılı bir düşmana orta derecede güvenle atfedildi
Ayrıca yanal hareket araçları, Korplug ve Microsoft tarafından Flax Typhoon olarak takip edilen Çin’e bağlı başka bir küme tarafından kullanıma sunulan SoftEther VPN istemcisi de dağıtılıyor
ZIP arşivinin içine yerleştirilmiş, kurbanın bilgisayarından hassas bilgiler toplamak için DinodasRAT kötü amaçlı yazılımını başlatan yürütülebilir bir dosyadır ]vn, yükü barındırmak için Vietnam devleti web sitesinin tehlikeye atıldığını gösteriyor
ESET araştırmacısı Fernando Tavella, “Saldırganlar, DinodasRAT gibi daha önce bilinmeyen araçların ve Korplug gibi daha geleneksel arka kapıların bir kombinasyonunu kullandı [ Jacana Operasyonu ” söz konusu The Hacker News ile paylaşılan bir raporda ”
Bulaşma dizisi, konu satırlarında Vietnam’daki Guyanlı bir kaçak hakkında olduğu iddia edilen bir habere gönderme yapan bubi tuzaklı bir bağlantı içeren bir kimlik avı e-postasıyla başladı
DinodasRAT, komuta ve kontrol (C2) sunucusuna gönderdiği bilgileri Minik Şifreleme Algoritmasını (TEA) kullanarak şifrelemenin yanı sıra, sistem meta verilerini ve dosyaları sızdırma, Windows kayıt defteri anahtarlarını değiştirme ve komutları yürütme yetenekleriyle birlikte gelir
Alıcının bağlantıya tıklaması durumunda fta moit
aktiviteESET tarafından Şubat 2023’te tespit edilen bu saldırı, DinodasRAT adı verilen, C++ ile yazılmış, şimdiye kadar belgelenmemiş bir implantın konuşlandırılmasına yol açan bir hedef odaklı kimlik avı saldırısına yol açtı ” dedi gov alanından bir ZIP arşiv dosyası indirilir