LOSTKEYS Kötü Amaçlı Yazılım
Rusya bağlantılı tehdit aktörü COLDRIVER, geleneksel kimlik bilgisi dolandırıcılığı kampanyalarının ötesine geçerek araç setini genişletti. Son zamanlarda, grup hedefli bir casusluk kampanyasında LOSTKEYS adlı yeni bir kötü amaçlı yazılım türünü dağıtırken görüldü. Bu, SPICA'dan sonra COLDRIVER ile bağlantılı ikinci özel kötü amaçlı yazılımdır. Callisto, Star Blizzard ve UNC4057 gibi takma adlar altında da izlenen COLDRIVER, kimlik bilgisi hırsızlığı, e-posta sızdırma ve kişi listesi toplama konusunda kötü bir üne sahiptir. Şimdi, oyun kitabında sistem dosyalarına ve verilerine erişmek için seçici kötü amaçlı yazılım dağıtımı yer alıyor.
İçindekiler
LOSTKEYS Açığa Çıktı: Gizli ve Hedefli Bir Tehdit
LOSTKEYS, belirli dizinlerden dosyalar, çalışan işlemler ve sistem ayrıntıları dahil olmak üzere hassas bilgileri gizlice sızdırmak için tasarlanmıştır. Ocak, Mart ve Nisan 2025'te operasyonlarda konuşlandırılmıştır. Hedefler arasında Batılı hükümetlerin ve orduların mevcut ve eski danışmanları, gazeteciler, düşünce kuruluşları, STK'lar ve Ukrayna ile ilişkili kişiler yer almaktadır. Özellikle, kötü amaçlı yazılımın seçici bir şekilde konuşlandırılmış olması, son derece hedefli saldırılarda kullanımını vurgulamaktadır.
Sosyal Mühendislik 2.0: ClickFix Bağlantısı
Enfeksiyon zinciri, sahte bir web sitesinde barındırılan sahte bir CAPTCHA istemiyle başlar. Kurbanlar, Windows Çalıştır iletişim kutusunu açmaya ve panolarına kopyalanmış bir PowerShell komutunu yapıştırmaya kandırılırlar; bu yöntem ClickFix olarak bilinir. Bu komut, uzak bir sunucudan ikinci aşama bir indirici alır ve ardından üçüncü aşama bir PowerShell betiği sunar. Bu betik, sanal ortamlarda algılanmaktan kaçınırken ana bilgisayarda LOSTKEYS'i yürütür.
Yeniden Kullanılan Kötü Amaçlı Yazılım mı Yoksa Erken Test mi?
Güvenlik araştırmacıları, açık kaynaklı bir araştırma platformu olan Maltego'dan ikili dosyaları taklit eden Aralık 2023'e kadar uzanan LOSTKEYS örnekleri keşfetti. Bunların, 2025'te onaylanan dağıtımından önce kötü amaçlı yazılımın erken test sürümleri mi yoksa ilgisiz kullanımları mı olduğu henüz belirsiz.
ClickFix’in Daha Geniş Benimsenmesi ve Zararlı Erişimi
ClickFix tekniği kötü amaçlı yazılım dağıtımı için çeşitli tehdit aktörleri arasında popülerlik kazanıyor. İki önemli örnek şunlardır:
- Lampion Bankacılık Truva Atı : ZIP ekleri içeren kimlik avı e-postaları aracılığıyla iletilir. İçerisinde, bir HTML dosyası kurbanları ClickFix talimatları içeren sahte bir CAPTCHA sayfasına yönlendirir ve hükümet, finans ve ulaşım gibi Portekizce konuşulan sektörleri hedef alan çok aşamalı bir bulaşma başlatır.
- macOS için Atomic Stealer : Binance Smart Chain (BSC) sözleşmelerinin yükleri gizlediği EtherHiding adlı bir taktikle eşleştirildi. 'Ben robot değilim'e tıklayan kurbanlar, farkında olmadan Base64 komutunu tetikler ve bu komut daha sonra Terminal'de çalıştırılarak Atomic Stealer olarak doğrulanan imzalı bir Mach-O ikili dosyasını indirir ve yürütür.
MacReaper: Meşru Web Sitesi Sömürüsüne Yönelik Yaygın Bir Kampanya
Daha ileri araştırmalar Atomic Stealer kampanyasını MacReaper adlı büyük ölçekli bir sulama deliği saldırısına bağladı. Sahte CAPTCHA istemleri görüntülemek için yaklaşık 2.800 meşru web sitesi tehlikeye atıldı. Bu saldırılar, tespit edilmekten kaçınmak ve enfeksiyonları en üst düzeye çıkarmak için gizlenmiş JavaScript, tam ekran iframe'ler ve blok zinciri tabanlı altyapı kullandı.
