Araştırmacıların “NewsPenguin” adını verdiği yeni bir tehdit aktörü, gelişmiş bir kötü amaçlı yazılım aracı kullanarak aylardır Pakistan’ın askeri-sanayi kompleksine karşı bir casusluk kampanyası yürütüyor.
İçinde Blog yazısı 9 Şubat’ta Blackberry’den araştırmacılar, bu grubun yaklaşmakta olan Pakistan Uluslararası Denizcilik Fuarı ve Konferansı’na (PIMEC) ziyaretçileri hedefleyen bir kimlik avı kampanyasını nasıl dikkatli bir şekilde planladığını açıkladı.
PIMEC önümüzdeki hafta sonu boyunca gerçekleşecek. Bir hükümete göre, bu bir Pakistan donanması girişimidir. basın bülteni“hem kamu hem de özel sektörde denizcilik endüstrisine ürünleri sergileme ve iş ilişkileri geliştirme fırsatları sağlayacak. Etkinlik ayrıca Pakistan’ın Denizcilik potansiyelini vurgulayacak ve ulusal düzeyde ekonomik büyüme için istenen dolguyu sağlayacaktır.”
PIMEC’e katılanlar arasında diğerlerinin yanı sıra ulus-devletler, ordular ve askeri üreticiler yer alır. Bu gerçek, NewPenguin’in ısmarlama bir kimlik avı yemi kullanması ve saldırının diğer bağlamsal ayrıntılarıyla birleştiğinde, araştırmacıları “tehdit aktörünün aktif olarak devlet kuruluşlarını hedef aldığı” sonucuna götürdü.
NewsPenguin, PIMEC konferansı için bir “Katılımcı El Kitabı” olduğunu iddia ederek, ekli bir Word belgesiyle hedef odaklı kimlik avı e-postaları kullanarak kurbanlarını cezbeder.
Dosya adı oldukça tehlike işareti olsa da – “Önemli Belge.doc” – içeriği, doğrudan gerçek etkinliğin materyallerinden alınmış gibi görünüyor, devlet mühürlerini ve organizatörler tarafından yayınlanan diğer medyalarla aynı estetiği içeriyor.
Belge önce korumalı bir görünümde açılır. Kurban daha sonra belgeyi okumak için “içeriği etkinleştir” seçeneğine tıklamalıdır, bu da uzak şablon enjeksiyon saldırısını tetikler.
Uzak şablon yerleştirme saldırıları, kötü amaçlı yazılımları bir belgeye değil, ilgili şablonuna yerleştirerek kolay algılamayı zekice önler. BlackBerry’de tehdit araştırmacısı olan Dmitry Bestuzhev, Dark Reading’e, “Saldırıların radarın altından uçmasına izin veren özel bir teknik,” diye açıklıyor, “özellikle [email gateways] ve uç nokta algılama ve yanıt (EDR) benzeri ürünler. Bunun nedeni, kötü amaçlı makroların dosyanın kendisinde değil, uzak bir sunucuda, yani kurbanın altyapısının dışında olmasıdır. Bu şekilde uç noktayı ve iç sistemleri korumak için üretilen geleneksel ürünler etkili olmayacaktır.”
Saldırı akışının sonundaki yük, blog gönderisinde “updates.exe” olarak anılan, ayırt edici adı olmayan bir yürütülebilir dosyadır. Bu daha önce hiç görülmemiş casusluk aracı, tespit ve analize direnme konusunda belki de en dikkate değer olanıdır.
Örneğin, hedef ağ ortamında herhangi bir yüksek ses çıkarmaktan kaçınmak için, kötü amaçlı yazılım, her komut arasında beş dakika süre vererek, kaplumbağa hızıyla çalışır.
Bestuzhev, “Bu gecikmenin çok fazla ağ etkinliğine neden olmaması amaçlanıyor” diye açıklıyor. “Algılama sistemlerinin anlayabileceği daha az ayak izi ile mümkün olduğunca sessiz kalıyor.”
NewsPenguin kötü amaçlı yazılımı, sanal bir makinede mi yoksa korumalı alanda mı konuşlandığını kontrol etmek için bir dizi eylem de gerçekleştirir. Siber güvenlik uzmanları, herhangi bir kötü amaçlı etkiyi bilgisayarın veya ağın geri kalanından izole eden bu ortamlarda kötü amaçlı yazılımları yakalamayı ve analiz etmeyi sever. Bilgisayar korsanları ise yakalanmak istemiyorlarsa bu izole ortamlardan kaçınmaları gerektiğini bilirler.
Araştırmacılar, update.exe’de, uyku işlevlerini atlayan sanal alanları belirlemek, sabit disk boyutunu kontrol etmek ve ve 10GB’tan fazla RAM gerektiriyor” raporuna göre.
Araştırmacılar, NewsPenguin’i bilinen herhangi bir tehdit aktörüne bağlayamadı. Bununla birlikte, grup zaten bir süredir çalışıyor.
Kampanyayla ilişkili alanlar, PIMEC’in yalnızca bu hafta sonu gerçekleşmesine rağmen, geçen yılın Haziran ve Ekim aylarında kaydedildi.
Raporun yazarları, “Kısa görüşlü saldırganlar genellikle operasyonları şimdiye kadar önceden planlamazlar ve etki alanı ve IP rezervasyonlarını kullanımlarından aylar önce gerçekleştirmezler.” “Bu, NewsPenguin’in bazı ön planlamalar yaptığını ve muhtemelen bir süredir faaliyet yürüttüğünü gösteriyor.”
Yazarlar, o dönemde NewsPenguin’in “kurban sistemlerine sızmak için araçlarını sürekli olarak geliştirdiğini” ekledi.
Saldırının önceden tasarlanmış doğası ile kurbanların profili arasında, büyük resim netleşmeye başlar. “Konferans kabinlerinde ne olur?” Bestuzhev sorar. “Katılımcılar katılımcılara yaklaşıyor, sohbet ediyor ve elektronik tablolar gibi basit formlar kullanarak stant personelinin lider olarak kaydettiği iletişim bilgilerini değiş tokuş ediyor. NewsPenguin kötü amaçlı yazılımı bu bilgileri çalmak için tasarlandı ve tüm konferansın askeri ve denizcilik teknolojileri hakkında olduğunu unutmamalıyız. .”
siber-1