“Nihai payload’ın tek amacının sistem hakkında bilgi edinmek olması, kampanyanın henüz erken aşamada olduğunu gösteriyor ki bu da Discord’un şu şekilde kullanılmasıyla da örtüşüyor: [command-and-control]” dedi araştırmacılar ua’nın kimliğine bürünen bir e-posta mesajı aracılığıyla dağıtılan bir Microsoft OneNote dosyasıdır
Örnek, kar amacı gütmeyen dobro ” söz konusu Pazartesi raporunda
“Ancak, aktörün gelecekte GitHub deposunda saklanan dosyayı değiştirerek güvenliği ihlal edilen sistemlere daha karmaşık bir kötü amaçlı yazılım parçası gönderebileceğini vurgulamak önemlidir
Trellix araştırmacıları Ernesto Fernández Provecho ve David Pastor Sanz, “Discord’un kullanımı büyük ölçüde herkesin internetten satın alabileceği veya indirebileceği bilgi hırsızları ve gaspçılarıyla sınırlıdır
Araştırmacılar, “Discord’un işlevlerinden yararlanan APT kötü amaçlı yazılım kampanyalarının potansiyel olarak ortaya çıkması, tehdit ortamına yeni bir karmaşıklık katmanı getiriyor” dedi ”
siber-2
“APT’ler karmaşık ve hedefli saldırılarıyla tanınıyor ve Discord gibi yaygın olarak kullanılan iletişim platformlarına sızarak ağlar içinde uzun vadeli dayanakları etkili bir şekilde oluşturarak kritik altyapıyı ve hassas verileri riske atabiliyorlar
Discord, son yıllarda kârlı bir hedef haline geldi; içerik dağıtım ağını (CDN) kullanarak kötü amaçlı yazılım barındırmak için verimli bir zemin görevi görüyor, bilgi hırsızlarının hassas verileri uygulamadan çekmesine olanak tanıyor ve web kancaları aracılığıyla veri sızıntısını kolaylaştırıyor GitHub deposundan komut dosyası
PowerShell, son aşamada sistem meta verilerini filtrelemek için Discord web kancasından yararlanıyor
Ancak siber güvenlik firması, Ukrayna’nın kritik altyapılarını hedef alan bir yapay nesnenin kanıtını bulduğunu söylediği için bu durum değişiyor olabilir ”
Trellix’in analizi ayrıca SmokeLoader, PrivateLoader ve GuLoader gibi yükleyicilerin, RedLine, Vidar, Agent Tesla ve Umbral gibi hırsızlar da dahil olmak üzere bir sonraki aşama veri yükünü indirmek için Discord’un CDN’sini kullanan en yaygın kötü amaçlı yazılım aileleri arasında yer aldığını ortaya çıkardı Şu anda onu bilinen bir tehdit grubuyla ilişkilendiren hiçbir kanıt yok
Araştırmacılar, “Discord’un CDN’sinin ek kötü amaçlı yazılım yükleri için bir dağıtım mekanizması olarak kötüye kullanılması, siber suçluların işbirlikçi uygulamalardan kendi çıkarları için yararlanma konusundaki uyarlanabilirliğini gösteriyor” dedi
Dosya açıldığında, bubi tuzaklı bir düğmeye tıklayarak alıcıları bağış yapmaları için kandıran Ukraynalı askerlere referanslar içerir; bu, başka bir PowerShell indirmek için bir PowerShell betiğini çıkarıp çalıştırmak üzere tasarlanmış Visual Basic Komut Dosyasının (VBS) yürütülmesiyle sonuçlanır
Üstelik Discord web kancaları kullanılarak gözlemlenen yaygın kötü amaçlı yazılım ailelerinden bazıları Mercurial Grabber, Stealerium, Typhon Stealer ve Venom RAT’tır
17 Ekim 2023Haber odasıKötü amaçlı yazılım / APT
Meşru altyapıyı kötü amaçlar için kötüye kullanan tehdit aktörlerinin son evriminde yeni bulgular, ulus devlet bilgisayar korsanlığı gruplarının kritik altyapıyı hedeflemek için sosyal platformdan yararlanma mücadelesine girdiğini gösteriyor