Ducktail Infostealer ve DarkGate RAT'ın Aynı Tehdit Aktörleriyle Bağlantısı Var - Dünyadan Güncel Teknoloji Haberleri

Ducktail Infostealer ve DarkGate RAT'ın Aynı Tehdit Aktörleriyle Bağlantısı Var - Dünyadan Güncel Teknoloji Haberleri

“Bu tutarlı modeller, analiz edildiğinde çeşitli kampanyalar arasındaki boşluğu kapatabilir ve kötü amaçlı yazılımın teknik ayak izi farklı olsa bile araştırmacıların bunları ortak bir faile atfetmelerine olanak tanır” diyor

Bir siber güvenlik analisti için bu durum bir zorluk teşkil ediyor çünkü sürekli olarak yeni tehditlere uyum sağlamaları ve birden fazla tehdit aktörünün aynı kötü amaçlı yazılım hizmetini kullanma olasılığını dikkate almaları gerekiyor

Ayrıca aynı cihazda birden fazla kötü amaçlı LNK dosyası oluşturdular ve meta verileri silmediler, böylece daha fazla etkinliğin kümelenmesine olanak sağladılar

Virüs bulaşmış cihazlara fidye yazılımı dağıtmak, kullanıcının dosyalarını şifrelemek ve şifreyi çözmek için fidye ödemesi talep etmek için kullanılabilir

Oluşturulan her dosyaya kendi meta verilerini ekleyen çevrimiçi bir hizmeti kullanarak PDF yem dosyaları oluşturdular; bu meta veriler farklı kampanyalar arasında daha güçlü bağlantılar sağladı

Bui, “Bu aynı zamanda analistlerin, fidye yazılımı kampanyaları ve çabalarında gördüğümüz gibi birden fazla tehdit grubunun birlikte çalışıp çalışmadığını belirlemesine de yardımcı olabilir” diye ekliyor ” Günther, Critical Start’ta siber tehdit araştırmasının kıdemli yöneticisi

Bui, “Teknik uzmanlığa sahip olmayan, hevesli siber suçluların giriş engelini azaltıyor” diye açıklıyor “Sonuç olarak, daha fazla kişi veya grup DarkGate gibi karmaşık kötü amaçlı yazılımlara erişip bunları dağıtabilir, bu da genel tehdit düzeyini artırır ”

DarkGate kampanyalarının (ve bunların arkasındaki aktörlerin), kimi hedeflediklerine, kullandıkları yemlere ve enfeksiyon vektörlerine ve hedef üzerindeki eylemlerine göre farklılaşabileceğini belirtiyor “Ayrıca, çağdaş tehditleri ve kimlik avı vektörlerini tanıma konusunda eğitilmiş, iyi bilgilendirilmiş bir iş gücü, bir kuruluşun ilk savunma hattı haline gelerek risk oranını önemli ölçüde azaltır rapor

Ayrıca, tehdit istihbaratını bir havuzda toplamak ve sektör genelinde ortaya çıkan tehditler ve taktikler hakkında iletişimi teşvik etmek, erken tespit ve hafifletmeyi kolaylaştırabilir

Kötü amaçlı yazılım, virüslü cihazlardan kullanıcı adları, şifreler, kredi kartı numaraları ve diğer hassas bilgiler dahil olmak üzere çeşitli verileri çalabilir ve kullanıcının bilgisi veya izni olmadan virüslü cihazlarda kripto para madenciliği yapmak için kullanılabilir

Savunmada Paradigma Değişimi

Günther, modern, sürekli gelişen siber tehdit ortamını daha iyi anlamak için savunma stratejilerinde paradigma değişikliğinin gecikmiş olduğunu söylüyor

WithSecure kıdemli tehdit istihbaratı analisti Stephen Robinson, DarkGate kötü amaçlı yazılım işlevselliğinin 2018’deki ilk raporlamadan bu yana yüksek düzeyde değişmediğini açıklıyor

“Yapay zeka ve makine öğreniminden yararlanmanın yanı sıra davranış temelli algılama dizilerini benimsemek, imza tabanlı yöntemlerin önceki sınırlamalarını aşarak anormal ağ davranışlarının tanımlanmasına olanak tanıyor” diyor

“Bu her zaman bir İsviçre çakısı, çok işlevli bir kötü amaçlı yazılım olmuştur” diyor

Menlo Security’nin siber güvenlik uzmanı Ngoc Bui, aynı tehdit aktörleriyle bağlantılı farklı kötü amaçlı yazılım aileleri arasındaki ilişkileri anlamanın çok önemli olduğunu söylüyor

DarkGate ve Ducktail arasındaki korelasyon, yem dosyaları, hedefleme modelleri ve dağıtım yöntemleri gibi teknik olmayan işaretleyicilerin 15 sayfalık bir belgede derlenmesiyle belirlendi

Günther, “Ağ yapılandırmalarını ve sızma testlerini kapsayan düzenli denetimler, güvenlik açıklarını önceden ortaya çıkarabilir” diye ekliyor

MaaS Siber Tehdit Ortamını Etkiliyor

Bui, DarkGate’in bir hizmet olarak kullanılabilirliğinin siber güvenlik ortamı üzerinde önemli etkileri olduğuna dikkat çekiyor

Robinson, “Raporun odaklandığı belirli Vietnam kümesi, birden fazla kötü amaçlı yazılım türü kullanan birden fazla kampanya için aynı hedeflemeyi, dosya adlarını ve hatta yem dosyalarını kullandı” diyor

Örneğin, araştırmacılar DarkGate, Ducktail, Lobshot ve Redline Stealer arasında bağlantılar bulurlarsa, tek bir aktörün veya grubun birden fazla kampanyaya dahil olduğu sonucuna varabilirler, bu da yüksek düzeyde karmaşıklık anlamına gelir

Callie şöyle açıklıyor: “Cazibe dosyaları ve meta veriler gibi teknik olmayan göstergeler son derece etkili adli ipuçlarıdır Kurbanları kötü amaçlı yazılımı çalıştırmaya ikna etmek için yem görevi gören yem dosyaları, bir saldırganın çalışma şekli, potansiyel hedefleri ve gelişen teknikleri hakkında paha biçilmez bilgiler sunar

Ducktail’in 2022’deki etkinliğini tespit eden WithSecure araştırmacıları, İngiltere, ABD ve Hindistan’daki kuruluşlara yönelik çok sayıda enfeksiyon girişimini tespit ettikten sonra DarkGate ile ilgili araştırmalarına başladı

Ayrıca, kötü amaçlı yazılımı kullanan tehdit aktörünün takibini biraz daha zorlaştırabilir çünkü kötü amaçlı yazılımın kendisi, kötü amaçlı yazılımı kullanan tehdit aktörüne değil, geliştiriciye geri dönebilir “Bununla birlikte, o zamandan bu yana yazar tarafından defalarca güncellendi ve değiştirildi; bunun, bu kötü amaçlı işlevlerin uygulanmasını iyileştirmek ve AV/Kötü Amaçlı Yazılım algılama silahlanma yarışına ayak uydurmak olduğunu varsayabiliriz



Siber güvenlik araştırmacıları, kötü şöhretli DarkGate uzaktan erişim truva atı (RAT) ile Ducktail bilgi hırsızlığının arkasındaki Vietnam merkezli finansal siber suç operasyonu arasında bir bağlantı olduğunu ortaya çıkardı

“Cazibe belgelerinin ve hedeflemenin son Ördek Kuyruğu bilgi hırsızlığı kampanyalarına çok benzediği hızla ortaya çıktı ve DarkGate kampanyasındaki açık kaynak veriler üzerinden büyük olasılıkla aynı aktör/grup tarafından kullanılan birden fazla diğer bilgi hırsızlığına geçiş yapmak mümkün oldu ,” dedi raporda

Bui, “Daha kapsamlı bir tehdit profili oluşturmaya ve bu tehdit aktörlerinin taktiklerini ve motivasyonlarını belirlemeye yardımcı oluyor” diyor

DarkGate’in Ördek Kuyruğu ile Bağları

DarkGate, bilgi çalmak, kripto korsanlığı yapmak ve kötü amaçlı yazılım dağıtmak için Skype, Teams ve Mesajlar’ı kullanmak da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirebilen bir arka kapı kötü amaçlı yazılımıdır ”

Bui, hizmet olarak kötü amaçlı yazılım (MaaS) tekliflerinin siber suçlulara saldırı gerçekleştirmek için uygun ve uygun maliyetli bir araç sağladığını ekliyor

Benzer şekilde, “LNK Drive ID” gibi bilgiler veya Canva gibi hizmetlerden alınan ayrıntılar gibi meta veriler, farklı saldırılar veya belirli aktörler karşısında kalıcı olabilecek fark edilebilir izler veya modeller bırakabilir ”



siber-1