Kaspersky uzmanları, kar amacı güden bir APT kümesi olan DeathStalker tarafından kuruluşlara kesin olarak sızmak için kullanılan kötü amaçlı Janicab yazılımında yeni işlevler belirledi.
Şirketten yapılan açıklamaya göre, yeni varyant Avrupa ve Orta Doğu bölgelerinde tespit edildi ve bulaşma zincirinin bir modülü olarak YouTube gibi yasal hizmetleri kullanıyor.
Janicab bulaşmaları, dijital gasp veya fidye yazılımı gibi siber saldırılardan kaynaklanan daha klasik hasarlar, ters lojistik ve yasal değerlendirmelere, rekabet avantajına, ani ve önyargılı süreç kontrollerine ve fikri mülkiyetin kötüye kullanılmasına yol açabilir.
Janicab; derleyici tarafından yorumlanan programlama dili ile modüler, kötü amaçlı yazılım. Bu, bir saldırganın çok az bir çabayla Janicab’a işlevler veya katıştırılmış dosyalar ekleyebileceği veya kaldırabileceği anlamına gelir. Kaspersky telemetrisine dayalı daha yeni Janicab varyantları, diğer kodlama eserlerini içeren birkaç Python dosyası ve arşivinin varlığıyla önemli ölçüde değişti. Buna göre, bir kurban kötü amaçlı dosyayı açması için kandırıldığında, bir dizi kötü amaçlı dosyaya maruz kalır.
DeathStalker’ın saldırgan yazılımının ayırt edici özelliklerinden biri, daha sonra kötü amaçlı yazılım implantı tarafından kodu çözülen kodlanmış bir diziyi barındırmak için DDR ve web hizmetlerini kullanmasıdır. Son raporlara göre Kaspersky, 2021’deki ihlallerde de tespit edilen bazı eski YouTube bağlantılarının yeniden kullanıldığını duyurdu. Arama motorlarında listelenmeyen web kişileri daha az sezgisel ve tespit edilmesi daha zor olduğundan, saldırgan tespit edilmeden çalışabilir ve C2 altyapısını yeniden kullanabilir.
DeathStalker’ın klasik etki alanına giren etkilenen kuruluşlar, öncelikle yasal ve finansal yatırım yönetimi (FSI) kurumları olarak bilinir. Kaspersky ayrıca seyahat acentelerini de etkileyen bazı tehdit edici faaliyetler kaydetti. Orta Doğu ile birlikte Avrupa bölgesi, DeathStalker için tipik bir çalışma alanı gibi görünüyor.
“Organizasyonlar izinsiz girişlere karşı proaktif olarak hazırlanmalı”
Kaspersky META Araştırma Merkezi Lideri Dr. Amin Hasbini, “Yasal ve finansal kurumlar bu saldırganın ortak hedefi olduğundan, DeathStalker’ın ana hedeflerinin VIP’ler, büyük finansal varlıklar ve rekabetçi iş zekasının yanı sıra birleşmeler ve satın almalar. Bu sektörlerde faaliyet gösteren kuruluşlar, verilerin bu tür izinsiz girişlere karşı proaktif bir şekilde hazırlanmalı ve güvende kalmalarını sağlamak için tehdit modellerini güncellemelidir.” sözlerini kullandı.
Saldırgan hem geçmiş hem de yeni ihlallerde Python, VBE ve VBS gibi derleyici tabanlı kötü amaçlı yazılımları kullanmaya devam ettiğinden, etkilenen kuruluşlar rastgele bir ihlal girişimini engellemek için beyaz listeye alınmış uygulamalara ve işletim sistemi güçlendirmeye güvenmelidir. Ek olarak, Janicab C2 altyapısına bağlanmak için Internet Explorer’ı kapalı modda kullandığından, GUI olmadan çalışan Internet Explorer işlemlerini kontrol etmek için güvenlik programlarının da etkinleştirilmesi gerekir.
