DeathStalker’ın paralı askerleri, VileRat ile kripto para birimine ve borsa şirketlerine saldırıyor

Kaspersky araştırmacıları, DeathStalker kiralık hacker grubunun 2018’den beri saldırı kampanyalarını izlemeye aldı. Analizler tehdit aktörünün 2022’de Malta, Birleşik Arap Emirlikleri, Rusya, Bulgaristan, Kıbrıs, Almanya, Grenadalar ayrıca Kuveyt’teki kripto para borsalarına ayrıca döviz bozdurma şirketlerine saldırmak için kaçamak “VileRat” araç setini güncellediğini gösteriyor.

DeathStalker, Kaspersky’nin 2018’den beri izlediği, esas olarak finans sektöründeki hukuk firmalarını ayrıca kuruluşları hedef alan, kötü şöhretli bir kiralık APT aktörü. Bu tehdit aktörü, saldırılarının siyasi veya mali odaklı olmayışıyla öne çıkıyor. Kaspersky araştırmacıları DeathStalker’ın paralı bir organizasyon olarak hareket ettiğine, özel bilgisayar korsanlığı veya finansal istihbarat hizmetleri sunduğuna inanıyor.

2020’de Kaspersky araştırmacıları, DeathStalker’ın genel profiline ayrıca Janicab, Evilnum, PowerSing ayrıca PowerPepper kampanyaları dahil olmak üzere kötü niyetli etkinliklerine ilişkin bir genel rapor yayınladı. Kaspersky uzmanları, 2020’nin ortalarında “VileRAT” Python implantına dayanan yeni ayrıca gözden kaçmaya son derece meyilli bir enfeksiyon keşfetti. Aktörün faaliyetlerini o zamandan beri yakından takip eden uzmanlar, 2022’de tüm dünyadaki yabancı para birimi (FOREX) ayrıca kripto para ticaret şirketlerini agresif bir şekilde hedeflediklerini keşfetti.

VileRat, genellikle hedef odaklı kimlik avı e-postalarıyla başlayan karmaşık bir enfeksiyon zincirinden sonra devreye alınıyor. Bu yaz saldırganlar, kötü amaçlı belgeler göndermek için hedeflenen şirketlerin halka açık web sitelerine yerleştirilmiş sohbet robotlarından da faydalandı. Mevzu Bahis DOCX belgeleri sıklıkla “uyum” veya “şikayet” anahtar sözcükleri (ayrıca hedeflenen şirketin adı) kullanılarak adlandırıldı. Bu da saldırganın saldırıyı gizlemek için bir kimlik talebini yanıtladığına veya bir sorunu bildirdiğine işaret ediyor.

Önceden belgelenen DeathStalker etkinlikleriyle karşılaştırıldığında VileRAT kampanyası araçlarının gelişmişliği, geniş altyapısı, tüm bulaşma vektörü boyunca kullanılan sayısız şaşırtma teknikleri ayrıca 2020’den beri sürekli ayrıca kalıcı etkinliğiyle öne çıkıyor. VileRAT kampanyası, DeathStalker’ın hedeflerine erişimi geliştirmek ayrıca sürdürmek için muazzam bir çaba sarf edildiğini gösteriyor. Saldırıların olası amacı durum tespiti, varlık kurtarma, dava veya tahkim davaları desteğinden yaptırımların etrafından dolaşmaya kadar uzanıyor. Tüm bunlara rağmen amaç doğrudan finansal kazançmış gibi görünmüyor.

VileRat belirli ülkeleri hedeflemekle ilgilenmiyor. Kaspersky araştırmacıları VileRat’ın kullanıldığı, Bulgaristan, Kıbrıs, Almanya, Grenadalar, Kuveyt, Malta, Birleşik Arap Emirlikleri ayrıca Rusya’ya yönelik ayrım gözetmeyen gelişmiş saldırılar rapor ediyor. Saldırıdan etkilenen organizasyonla yeni kurulan girişimlerden yerleşik endüstri liderlerine kadar geniş bir alana uzanıyor.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Tehdit aktörünü takip ettiğimiz süre boyunca, tespitten kaçmak DeathStalker için her vakit bir amaç olmuştur. Ancak VileRAT kampanyası bu arzuyu başka bir düzeye taşıdı. Hiç şüphesiz bu aktör bu alanda tespit ettiğimiz en karmaşık kampanyaya imza atıyor. DeathStalker’ın taktiklerinin ayrıca uygulamalarının, böyle bir saldırıya dayanacak kadar deneyimli olmayan, güvenliğini yeterince sağlamamış veya güvenliğine çok dikkat etmeyen üçüncü partilerle sıkça iş yapan kurumları dize getirmek için yeterli olacağını düşünüyoruz.”

Securelist’te VileRat ayrıca kaçınma teknikleri hakkında daha fazla bilgilendirme edinebilirsiniz.

Kuruluşlarınızı VileRat gibi saldırılardan korumak için Kaspersky uzmanları şunları öneriyor:

• SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’si için son 20 yılda Kaspersky tarafınca toplanan siber saldırı verilerini ayrıca öngörülerini sağlayan erişim noktasıdır. Kaspersky, işletmelerin bu çalkantılı zamanlarda etkili savunmalar yapmasına yardımcı olmak için devam eden siber saldırılar ayrıca tehditler hakkında bağımsız, sürekli güncellenen bu küresel kaynağa ücretsiz erişebileceğini duyurdu. Çevrimiçi erişimi buradan talep edebilirsiniz.
• GReAT uzmanları tarafınca geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizin en son hedeflenen tehditlerle başa çıkmalarını sağlamak için becerilerinizi artırın.
• Kaspersky EDR Expert gibi kurumsal düzeyde bir EDR çözümü kullanın. Uyarıların olaylarla otomatik olarak birleştirmesi, dağınık uyarılar arasındaki ilişkileri tespit etmek, olayı en etkili şekilde analiz etmek ayrıca müdahale başlatmak için gereklidir.
• Temel uç nokta korumasını benimsemeye ek olarak, Kaspersky Anti Targeted Attack Platform gibi ağ düzeyindeki gelişmiş tehditleri erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü kullanın.
• Pek çok hedefli saldırı kimlik avı gibi sosyal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform gibi araçları kullanarak güvenlik bilinci eğitimiyle ekibinize pratik beceriler kazandırın.