Gizli Asker Kötü Amaçlı Yazılımı
\
Siber güvenlik topluluğu kısa süre önce, Kuzey Afrika'daki bir dizi karmaşık ve özel olarak hedeflenmiş casusluk kampanyasında kullanılan Gizli Asker adlı yeni tanımlanmış özel bir arka kapı keşfetti.
Stealth Soldier, güvenliği ihlal edilmiş sistemlerden hassas bilgiler toplamayı amaçlayan, çeşitli gözetim yetenekleri sergileyen, belgelenmemiş bir arka kapı kötü amaçlı yazılımıdır. Virüslü cihazdan dosya ayıklama, ekran ve mikrofondaki etkinlikleri kaydetme, tuş vuruşlarını günlüğe kaydetme ve taramayla ilgili verileri çalma gibi çeşitli gözetim işlevlerini yerine getirir.
Bu saldırı operasyonunun dikkate değer bir yönü, Libya Dışişleri Bakanlığı ile ilişkili web sitelerini taklit eden Komuta ve Kontrol (C&C) sunucularının kullanılmasıdır. Saldırganlar, bu meşru siteleri taklit ederek, kötü niyetli faaliyetlerini yürütmelerine yardımcı olan aldatıcı bir ortam oluşturur. Bu Stealth Soldier kampanyasının ilk izleri, saldırganların önemli bir süredir aktif olarak faaliyet gösterdiğini gösteren Ekim 2022'ye kadar izlenebilir.
Stealth Soldier Kötü Amaçlı Yazılım Operatörleri Sosyal Mühendislik Taktikleri Kullanıyor
Saldırı kampanyası, potansiyel hedeflerin kandırılarak sosyal mühendislik taktikleri yoluyla kötü niyetli indirici ikili dosyalarını indirmeleri ile başlar. Bu aldatıcı ikili dosyalar, Stealth Soldier kötü amaçlı yazılımını dağıtmak için bir araç görevi görürken, aynı anda kurbanların dikkatini dağıtmak için görünüşte zararsız bir sahte PDF dosyası görüntüler.
Stealth Soldier kötü amaçlı yazılımı başarıyla dağıtıldığında, özel modüler implantı aktif hale gelir. Tespit edilmekten kaçınmak için idareli bir şekilde kullanıldığına inanılan bu implant, kötü amaçlı yazılımı bir dizi gözetleme yeteneğiyle donatıyor. Dizin listelerini ve tarayıcı kimlik bilgilerini toplar, tuş vuruşlarını günlüğe kaydeder, cihazın mikrofonundan ses kaydeder, ekran görüntüleri yakalar, dosya yükler ve PowerShell komutlarını yürütür.
Kötü amaçlı yazılım, farklı türde komutlar kullanır. Bazı komutlar, Komuta ve Kontrol (C&C) sunucusundan indirilen eklentilerken, diğerleri kötü amaçlı yazılımın içine gömülü modüllerdir. Bu modüler yaklaşım, kötü amaçlı yazılımın işlevselliğinde esneklik ve uyarlanabilirlik sağlar. Ayrıca, Stealth Soldier'ın üç farklı sürümünün keşfedilmesiyle kanıtlandığı gibi, operatörlerin kötü amaçlı yazılımı aktif olarak koruduğunu ve güncellediğini gösterir.
Stealth Soldier'ın bazı bileşenlerine artık erişilemese de analizler, ekran yakalama ve tarayıcı kimlik bilgisi hırsızlığı gibi belirli işlevlerin GitHub'da bulunan açık kaynaklı projelerden ilham aldığını ortaya çıkardı. Bu, Stealth Soldier'ın arkasındaki tehdit aktörlerinin mevcut araçlardan ilham aldığını ve yeteneklerini ve etkinliğini artırmak için bunları özel kötü amaçlı yazılımlarına dahil ettiğini gösteriyor.
Önceden Kaydedilmiş Kötü Amaçlı Yazılım İşlemleriyle Benzerlikler
Ayrıca Stealth Soldier tarafından kullanılan altyapının, Eye on the Nile olarak bilinen önceki bir kimlik avı kampanyasıyla bağlantılı altyapıyla benzerlikler paylaştığı keşfedildi. Eye on the Nile kampanyası, 2019'da Mısırlı gazetecileri ve insan hakları aktivistlerini hedef aldı.
Bu gelişme, her iki kampanyadan sorumlu olan tehdit aktörünün potansiyel olarak yeniden dirilişine işaret ediyor. Grubun özellikle Mısır ve Libya'daki bireyleri hedef alan gözetleme faaliyetleri yürütmeye odaklandığını öne sürüyor.
Kötü amaçlı yazılımın modüler yapısı ve çoklu bulaşma aşamalarının kullanımı göz önüne alındığında, saldırganların taktiklerini ve tekniklerini uyarlamaya devam etmesi oldukça olasıdır. Bu uyarlanabilirlik, tehdit aktörünün muhtemelen yakın gelecekte kötü amaçlı yazılımın güncellenmiş sürümlerini yayınlayarak, gözetleme hedeflerini ilerletmek için potansiyel olarak yeni işlevler ve kaçınma manevraları sunacağı anlamına gelir.
