StripedFly: Casusluk yeteneklerini gizleyen karmaşık kodlara sahip bir madencilik solucanı
Kaspersky uzmanları, en az 2017’den bu yana bir milyondan fazla kurbana bulaşan, dünya çapında yaygın, daha önce bilinmeyen, son derece karmaşık bir kötü amaçlı yazılım olan StripedFly’ı ortaya çıkardı. İlk bakışta bir kripto para madencisi gibi davranan bu kötü amaçlı yazılımın, karmaşık bir kötü amaçlı yazılım olduğu ortaya çıktı. çok fonksiyonlu bir solucana dönüşebilecek bir yapı.
Kaspersky’nin Küresel Araştırma ve Analiz Ekibi, 2022’de WININIT.EXE sürecinde, daha önce Equation kötü amaçlı yazılımında gözlemlenen kod dizileri tarafından tetiklenen iki beklenmedik algılamayla karşılaştı. Bu faaliyet en az 2017’den beri devam ediyordu ve daha önce yanlış bir şekilde kripto para madencisi olarak sınıflandırıldığı için önceki analizlerden kaçmayı başarmıştı. Sorunun kapsamlı bir incelemesinin ardından kripto para madencisinin çok daha büyük bir varlığa sahip olduğu ortaya çıktı; Karmaşık, çok platformlu, çok eklentili, berbat bir hedef çerçevenin yalnızca bir bileşeni olduğu ortaya çıktı.
Kötü amaçlı yazılım yükü birden fazla modülü kapsıyor ve tehdit aktörünün bir APT, kripto madencisi ve hatta bir fidye yazılımı kümesi olarak çalışmasına olanak tanıyarak potansiyel hedefini casusluktan finansal kazanca kadar genişletiyor. Bu modül tarafından özel olarak çıkarılan Monero kripto para birimi, 2017’deki yaklaşık 10 dolarlık değerine kıyasla 9 Ocak 2018’de 542,33 dolarlık en yüksek fiyatına ulaştı. Monero, 2023 prestijiyle yaklaşık 150 dolarlık fiyatını koruyor. Kaspersky uzmanları, kötü amaçlı yazılımların uzun süre algılanmamasını sağlayan birincil faktörün madencilik modülünün olduğunu vurguluyor.
Bu operasyonun arkasındaki saldırgan, kurbanlar hakkında gizlice casusluk yapma konusunda geniş yeteneklere sahip. Kötü amaçlı yazılım her iki saatte bir kimlik bilgilerini topluyor, site ve Wi-Fi oturum açma bilgileri gibi hassas bilgileri çalıyor ve kurbanın iş unvanı dahil kişisel bilgilerini tespit ediyor. Ayrıca kötü amaçlı yazılım, tespit edilmeden kurbanın cihazının ekran görüntülerini yakalayabilir, makine üzerinde değerli bir kontrol elde edebilir ve hatta mikrofon girişini kaydedebilir.
EternalBlue, kurban sistemlerine sızmak için özel yapım bir ‘SMBv1’ istismarının kullanıldığını ortaya çıkarana kadar birincil enfeksiyon vektörü bilinmiyordu. EternalBlue güvenlik açığı 2017 yılında kamuya duyurulmasına ve Microsoft’un bunun için bir yama (MS17-010) yayınlamasına rağmen, birçok kullanıcının sistemlerini güncellememesi nedeniyle tehdit değerini korumaya devam ediyor.
Kampanyanın teknik analizi sırasında Kaspersky uzmanları StripedFly ve Equation kötü amaçlı yazılımı arasında benzerlikler gözlemledi. Bunlar arasında Equation kötü amaçlı yazılımıyla ilgili imzalar gibi teknik göstergelerin yanı sıra StraitBizzare (SBZ) kötü amaçlı yazılımında görülenlere benzer kodlama stilleri ve uygulamaları da yer alıyordu. Kötü amaçlı yazılımı barındıran depoda görüntülenen indirme sayaçlarına göre StripedFly, dünya çapında bir milyondan fazla kurbana ulaştı.
Kaspersky Global Araştırma ve Analitik Grubu (GReAT) Güvenlik Araştırma Lideri Sergey Lozhkin, söz konusu: “Çerçeveyi oluşturmak için harcanan çaba gerçekten dikkate değerdi ve çerçevenin ortaya çıkarılması da aynı derecede şaşırtıcıydı. Siber suçluların uyum sağlama ve gelişme becerisi her zaman zorluk teşkil eder. Bu nedenle araştırmacılar olarak çabalarımızı karmaşık siber tehditleri ortaya çıkarmaya ve yaymaya adadık. “Müşterilerimizin siber hatalara karşı kapsamlı korumayı unutmaması çok önemli.”
Securelist.com ÇizgiliUçmakHakkında daha fazla bilgi edinebilirsiniz.
Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin kasıtlı saldırılarının kurbanı olmamak için aşağıdaki önlemleri önermektedir:
- Bilinen güvenlik açıklarını düzeltmek için işletim sisteminizi, uygulamalarınızı ve antivirüs yazılımınızı sistematik olarak güncelleyin.
- Hassas bilgiler isteyen e-postalara, mesajlara veya çağrılara karşı dikkatli olun. Rastgele kişisel bilgileri paylaşmadan veya şüpheli kişilere tıklamadan önce gönderenin kimliğini doğrulayın.
- SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin TI’sına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın süredir toplanan siber saldırı bilgileri ve öngörülerini sağlar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle en son kötü amaçlı tehditlerle mücadele etmek için siber güvenlik ekibinizi geliştirin
- Olayların uç nokta düzeyinde tespiti, araştırılması ve zamanında iyileştirilmesi için Kaspersky Endpoint Detection and Response gibi EDR analizlerini kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
