“Bu tutarlı modeller, analiz edildiğinde çeşitli kampanyalar arasındaki boşluğu kapatabilir ve kötü amaçlı yazılımın teknik ayak izi farklı olsa bile araştırmacıların bunları ortak bir faile atfetmelerine olanak tanır” diyor
Bir siber güvenlik analisti için bu durum bir zorluk teşkil ediyor çünkü sürekli olarak yeni tehditlere uyum sağlamaları ve birden fazla tehdit aktörünün aynı kötü amaçlı yazılım hizmetini kullanma olasılığını dikkate almaları gerekiyor
Ayrıca aynı cihazda birden fazla kötü amaçlı LNK dosyası oluşturdular ve meta verileri silmediler, böylece daha fazla etkinliğin kümelenmesine olanak sağladılar
Virüs bulaşmış cihazlara fidye yazılımı dağıtmak, kullanıcının dosyalarını şifrelemek ve şifreyi çözmek için fidye ödemesi talep etmek için kullanılabilir
Oluşturulan her dosyaya kendi meta verilerini ekleyen çevrimiçi bir hizmeti kullanarak PDF yem dosyaları oluşturdular; bu meta veriler farklı kampanyalar arasında daha güçlü bağlantılar sağladı
Bui, “Bu aynı zamanda analistlerin, fidye yazılımı kampanyaları ve çabalarında gördüğümüz gibi birden fazla tehdit grubunun birlikte çalışıp çalışmadığını belirlemesine de yardımcı olabilir” diye ekliyor ” Günther, Critical Start’ta siber tehdit araştırmasının kıdemli yöneticisi
Bui, “Teknik uzmanlığa sahip olmayan, hevesli siber suçluların giriş engelini azaltıyor” diye açıklıyor “Sonuç olarak, daha fazla kişi veya grup DarkGate gibi karmaşık kötü amaçlı yazılımlara erişip bunları dağıtabilir, bu da genel tehdit düzeyini artırır ”
DarkGate kampanyalarının (ve bunların arkasındaki aktörlerin), kimi hedeflediklerine, kullandıkları yemlere ve enfeksiyon vektörlerine ve hedef üzerindeki eylemlerine göre farklılaşabileceğini belirtiyor “Ayrıca, çağdaş tehditleri ve kimlik avı vektörlerini tanıma konusunda eğitilmiş, iyi bilgilendirilmiş bir iş gücü, bir kuruluşun ilk savunma hattı haline gelerek risk oranını önemli ölçüde azaltır rapor
Ayrıca, tehdit istihbaratını bir havuzda toplamak ve sektör genelinde ortaya çıkan tehditler ve taktikler hakkında iletişimi teşvik etmek, erken tespit ve hafifletmeyi kolaylaştırabilir
Kötü amaçlı yazılım, virüslü cihazlardan kullanıcı adları, şifreler, kredi kartı numaraları ve diğer hassas bilgiler dahil olmak üzere çeşitli verileri çalabilir ve kullanıcının bilgisi veya izni olmadan virüslü cihazlarda kripto para madenciliği yapmak için kullanılabilir
Savunmada Paradigma DeğişimiGünther, modern, sürekli gelişen siber tehdit ortamını daha iyi anlamak için savunma stratejilerinde paradigma değişikliğinin gecikmiş olduğunu söylüyor
WithSecure kıdemli tehdit istihbaratı analisti Stephen Robinson, DarkGate kötü amaçlı yazılım işlevselliğinin 2018’deki ilk raporlamadan bu yana yüksek düzeyde değişmediğini açıklıyor
“Yapay zeka ve makine öğreniminden yararlanmanın yanı sıra davranış temelli algılama dizilerini benimsemek, imza tabanlı yöntemlerin önceki sınırlamalarını aşarak anormal ağ davranışlarının tanımlanmasına olanak tanıyor” diyor
“Bu her zaman bir İsviçre çakısı, çok işlevli bir kötü amaçlı yazılım olmuştur” diyor
Menlo Security’nin siber güvenlik uzmanı Ngoc Bui, aynı tehdit aktörleriyle bağlantılı farklı kötü amaçlı yazılım aileleri arasındaki ilişkileri anlamanın çok önemli olduğunu söylüyor
DarkGate ve Ducktail arasındaki korelasyon, yem dosyaları, hedefleme modelleri ve dağıtım yöntemleri gibi teknik olmayan işaretleyicilerin 15 sayfalık bir belgede derlenmesiyle belirlendi
Günther, “Ağ yapılandırmalarını ve sızma testlerini kapsayan düzenli denetimler, güvenlik açıklarını önceden ortaya çıkarabilir” diye ekliyor
MaaS Siber Tehdit Ortamını EtkiliyorBui, DarkGate’in bir hizmet olarak kullanılabilirliğinin siber güvenlik ortamı üzerinde önemli etkileri olduğuna dikkat çekiyor
Robinson, “Raporun odaklandığı belirli Vietnam kümesi, birden fazla kötü amaçlı yazılım türü kullanan birden fazla kampanya için aynı hedeflemeyi, dosya adlarını ve hatta yem dosyalarını kullandı” diyor
Örneğin, araştırmacılar DarkGate, Ducktail, Lobshot ve Redline Stealer arasında bağlantılar bulurlarsa, tek bir aktörün veya grubun birden fazla kampanyaya dahil olduğu sonucuna varabilirler, bu da yüksek düzeyde karmaşıklık anlamına gelir
Callie şöyle açıklıyor: “Cazibe dosyaları ve meta veriler gibi teknik olmayan göstergeler son derece etkili adli ipuçlarıdır Kurbanları kötü amaçlı yazılımı çalıştırmaya ikna etmek için yem görevi gören yem dosyaları, bir saldırganın çalışma şekli, potansiyel hedefleri ve gelişen teknikleri hakkında paha biçilmez bilgiler sunar
Ducktail’in 2022’deki etkinliğini tespit eden WithSecure araştırmacıları, İngiltere, ABD ve Hindistan’daki kuruluşlara yönelik çok sayıda enfeksiyon girişimini tespit ettikten sonra DarkGate ile ilgili araştırmalarına başladı
Ayrıca, kötü amaçlı yazılımı kullanan tehdit aktörünün takibini biraz daha zorlaştırabilir çünkü kötü amaçlı yazılımın kendisi, kötü amaçlı yazılımı kullanan tehdit aktörüne değil, geliştiriciye geri dönebilir “Bununla birlikte, o zamandan bu yana yazar tarafından defalarca güncellendi ve değiştirildi; bunun, bu kötü amaçlı işlevlerin uygulanmasını iyileştirmek ve AV/Kötü Amaçlı Yazılım algılama silahlanma yarışına ayak uydurmak olduğunu varsayabiliriz
Siber güvenlik araştırmacıları, kötü şöhretli DarkGate uzaktan erişim truva atı (RAT) ile Ducktail bilgi hırsızlığının arkasındaki Vietnam merkezli finansal siber suç operasyonu arasında bir bağlantı olduğunu ortaya çıkardı
“Cazibe belgelerinin ve hedeflemenin son Ördek Kuyruğu bilgi hırsızlığı kampanyalarına çok benzediği hızla ortaya çıktı ve DarkGate kampanyasındaki açık kaynak veriler üzerinden büyük olasılıkla aynı aktör/grup tarafından kullanılan birden fazla diğer bilgi hırsızlığına geçiş yapmak mümkün oldu ,” dedi raporda
Bui, “Daha kapsamlı bir tehdit profili oluşturmaya ve bu tehdit aktörlerinin taktiklerini ve motivasyonlarını belirlemeye yardımcı oluyor” diyor
DarkGate’in Ördek Kuyruğu ile BağlarıDarkGate, bilgi çalmak, kripto korsanlığı yapmak ve kötü amaçlı yazılım dağıtmak için Skype, Teams ve Mesajlar’ı kullanmak da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirebilen bir arka kapı kötü amaçlı yazılımıdır ”
Bui, hizmet olarak kötü amaçlı yazılım (MaaS) tekliflerinin siber suçlulara saldırı gerçekleştirmek için uygun ve uygun maliyetli bir araç sağladığını ekliyor
Benzer şekilde, “LNK Drive ID” gibi bilgiler veya Canva gibi hizmetlerden alınan ayrıntılar gibi meta veriler, farklı saldırılar veya belirli aktörler karşısında kalıcı olabilecek fark edilebilir izler veya modeller bırakabilir ”
siber-1