Molerats Bilgisayar Korsanları Kötü Amaçlı Yazılım Dağıtıyor
TA402 (diğer adıyla Molerats) olarak izlenen Filistin hizalı APT grubu, coğrafi sınırlamadan ve meşru web sitelerine URL yönlendirmelerinden yararlanan bir siber casusluk kampanyasında 'NimbleMamba' adlı yeni bir implant kullanırken tespit edildi.
Kampanya, analistleri, tümü Orta Doğu ülkelerindeki hükümetleri, dış politika düşünce kuruluşlarını ve devlete ait bir havayolunu hedef alan, enfeksiyon zincirinin üç varyasyonunu gözlemleyen Proofpoint tarafından keşfedildi.
Son saldırıların zaman çizelgesine gelince, aktörler NimbleMamba'yı ilk olarak Kasım 2021'de kullandılar ve operasyonu Ocak 2022'nin sonlarına kadar sürdürdüler.
Enfeksiyon zinciri
Çoğu saldırıda TA402, kötü amaçlı yazılım bırakma sitelerine bağlantılar içeren hedef odaklı kimlik avı e-postaları kullanır. Mağdurların hedeflenen kapsamda olması gerekiyor veya yasal haber sitelerine yönlendiriliyor.
Hedefin IP adresi, tanımlanan hedef bölgeyle eşleşirse, NimbleMamba'nın bir kopyası sistemlerine bir RAR dosyası içinde bırakılır.
Proofpoint, kimlik avı cazibesi teması, yeniden yönlendirme URL'si ve kötü amaçlı yazılım barındıran sitelerle ilgili küçük farklılıklar içeren üç farklı bağlantı zinciri gözlemledi.
NimbleMamba
Proofpoint, TA402'nin aynı firma tarafından Haziran 2021 raporunda ifşa edilen bir arka kapı ve kötü amaçlı yazılım indiricisi olan LastConn'un yerine NimbleMamba'yı geliştirdiğine inanıyor.
Buna karşılık LastConn'un Aralık 2020'de Cybereason tarafından ortaya çıkarılan SharpStage'in yerini aldığı düşünülüyor.
TA402, mevcut setleri ortaya çıkarıldığında yeni özel araçları hızlı bir şekilde geliştirme ve yenilendikleri zaman tipik olarak farklı bir ara döneminden geçme kapasitelerini göstermiştir.
NimbleMamba kaçınılmaz olarak LastConn ile bazı kod benzerlikleri taşır, ancak bunlar programlama dili, C2 kodlama şeması ve iletişim için Dropbox API kullanımı ile sınırlıdır.
Yeni araç, çok daha gelişmiş anti-analiz sistemlerine sahiptir ve yalnızca hedeflenen makinelerde çalışmasını sağlamak için birden fazla korkuluk içerir.
Örneğin, ana bilgisayarın Arapça dil paketinin yüklü olması ve kötü amaçlı yazılımın dört IP coğrafi konum API hizmetine bağlanabilmesi gerekir; aksi halde çalışmayacaktır.
Ön koşullar karşılanırsa, NimbleMamba yapılandırmasını C2 iletişimi için gizlenmiş API kimlik doğrulama anahtarını içeren JustPaste.it sayfasından alır.
Proofpoint'in raporu “NimbleMamba, istihbarat toplayan bir truva atının geleneksel yeteneklerine sahip ve muhtemelen ilk erişim olacak şekilde tasarlandı” diye açıklıyor.
“İşlevler arasında ekran görüntülerinin alınması ve bilgisayardan süreç bilgilerinin alınması yer alıyor. Ek olarak, fare hareketini aramak gibi kullanıcı etkileşimini algılayabilir.”
Dropbox'tan alınan RAR dosyaları her zaman yalnızca NimbleMamba içermez, çünkü analistler büyük olasılıkla bir yedekleme aracı olarak kullanılan BrittleBush truva atını da ele geçirdiler.
Görünüm
TA402'nin yenilenen araç seti tekrar ortaya çıktığına göre, oyuncuların yeni araçlar geliştirmek için bir süre hareketsiz kalması bekleniyor.
NimbleMamba ve C2 iletişimlerini sağlamak için kullanılan alanlar zaten çevrimdışına alındı.
Hatırlanması gereken kritik nokta, söz konusu aktörün aynı hedef odağı sürdürmesi, aynı Filistin yanlısı hedeflere hizmet etmesi ve enfeksiyon zincirini başlatmak için esas olarak kimlik avı e-postalarını kullanmasıdır.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
