AceCryptor Kötü Amaçlı Yazılım
AceCryptor aracıyla bağlantılı çok sayıda yeni enfeksiyon vakası ortaya çıktı ve bu durum endişe verici bir eğilime işaret ediyor. Kötü amaçlı yazılımları kamufle etme ve geleneksel kötü amaçlı yazılım önleme savunmaları tarafından tespit edilemeyen sistemlere sızma yeteneği nedeniyle bilgisayar korsanları tarafından tercih edilen bu araç, Avrupa çapındaki kuruluşlara yönelik bir kampanyada kullanıldı. Yıllardır AceCryptor'un faaliyetlerini izleyen araştırmacılar, bu son kampanyada belirgin bir değişim gözlemliyor. Önceki örneklerden farklı olarak saldırganlar, açıklardan yararlanarak bir araya getirilen kurcalanmış kod aralığını genişleterek hedeflenen varlıklara yönelik daha yüksek tehditler oluşturdu.
AceCryptor, Zararlı Son Aşama Tehditlerin İletilmesinde Kullanılıyor
AceCryptor genellikle Ukrayna'daki kuruluşlara yönelik saldırılarda sıklıkla kullanılan güçlü uzaktan gözetim araçları olarak hizmet veren Remcos veya Rescoms gibi kötü amaçlı yazılımlarla eşleştirilir. Araştırmacılar, Remcos ve tanınmış SmokeLoader'ın yanı sıra, AceCryptor'un STOP/Djvu Ransomware ve Vidar Stealer çeşitleri de dahil olmak üzere başka kötü amaçlı yazılım türlerini de yaydığını gözlemledi.
Dahası, araştırmacılar hedeflenen ülkelerde farklı kalıplara dikkat çekti. SmokeLoader Ukrayna'daki saldırılara karışırken, Polonya, Slovakya, Bulgaristan ve Sırbistan'daki olaylarda Remcos'un kullanımı ön plana çıktı.
Titizlikle düzenlenen kampanyalarda AceCryptor, hassas bilgileri ayıklamak veya çeşitli şirketlere ilk erişim sağlamak amacıyla birden fazla Avrupa ülkesini hedeflemek için kullanıldı. Bu saldırılarda kötü amaçlı yazılımların dağıtımı genellikle spam e-postalar yoluyla gerçekleşti; bunlardan bazıları son derece ikna ediciydi; Zaman zaman meşru e-posta hesapları ele geçirildi ve bu yanıltıcı mesajları göndermek için kötüye kullanıldı.
Son operasyonun temel amacı, hedeflenen şirketlere yönelik daha fazla saldırı için e-posta ve tarayıcı kimlik bilgilerini ele geçirmek. Kaydedilen AceCryptor olaylarının çoğunluğu, bu saldırılarda ilk uzlaşma noktası olarak hizmet etmiştir.
AceCryptor'ın Hedefleri 2023 Boyunca Değişti
2023'ün altı ayında AceCryptor paketli kötü amaçlı yazılımlardan en çok etkilenen ülkeler Peru, Meksika, Mısır ve Türkiye oldu; Peru 4.700 saldırının yükünü üstlendi. Ancak yılın ikinci yarısında kayda değer bir değişimle, bilgisayar korsanları dikkatlerini Avrupa ülkelerine, özellikle de 26.000'den fazla saldırıya maruz kalan Polonya'ya yöneltti. Ukrayna, İspanya ve Sırbistan da binlerce saldırıya maruz kaldı.
Yılın ikinci yarısında Rescoms, 32.000'den fazla olayla AceCryptor aracılığıyla dağıtılan en önemli kötü amaçlı yazılım ailesi olarak ortaya çıktı. Bu olayların yarısından fazlası Polonya'dan meydana gelirken, onu Sırbistan, İspanya, Bulgaristan ve Slovakya takip ediyor.
Polonyalı işletmeleri hedef alan saldırılar da benzer konu başlıklarını paylaşıyordu ve genellikle mağdur şirketlere yönelik B2B teklifleri gibi görünüyordu. Bilgisayar korsanları, güvenilirlik sağlamak için e-postalarında orijinal Polonyalı şirket adlarını ve mevcut çalışan kimliklerini kullandı. Bu saldırıların ardındaki nedenler belirsizliğini koruyor; Bilgisayar korsanlarının çalınan kimlik bilgilerini kişisel kullanım için kullanmayı mı yoksa bunları diğer tehdit aktörlerine satmayı mı amaçladıkları belirsiz.
Şu anda mevcut kanıtlar, saldırı kampanyalarını kesin olarak belirli bir kaynağa atfetmek konusunda başarısız. Ancak Rus hükümetine bağlı bilgisayar korsanlarının operasyonlarında defalarca Remcos ve SmokeLoader'ı kullandıklarını belirtmekte fayda var.
