Proofpoint’ten siber güvenlik araştırmacıları, tehdit aktörleri tarafından özel olarak uyarlanmış çok çeşitli ikinci aşama saldırıları gerçekleştirmek için kullanılan yepyeni, özel olarak oluşturulmuş bir kötü amaçlı yazılımı ortaya çıkardı.
Casusluktan veri hırsızlığına kadar farklı şeyler yapabilen bu yükler, öngörülemezlikleri nedeniyle saldırıları daha da tehlikeli hale getiriyor.
Kampanyaya Screentime adını veren araştırmacılar, kampanyanın TA866 adlı yeni bir tehdit aktörü tarafından yürütüldüğünü söylüyor. Grubun daha geniş siber güvenlik topluluğu tarafından zaten biliniyor olması bir olasılık olsa da, henüz hiç kimse onu mevcut herhangi bir grup veya kampanyayla ilişkilendiremedi.
Proofpoint, TA866’yı “özel araçların mevcudiyetine, diğer satıcılardan araç ve hizmet satın alma becerisine ve bağlantılarına ve artan etkinlik hacimlerine dayalı olarak ölçekte iyi düşünülmüş saldırılar gerçekleştirebilen organize bir aktör” olarak tanımlıyor.
Araştırmacılar ayrıca, ikinci aşama yüklerinin bazı kısımlarında bazı değişken isimleri ve yorumların Rusça yazılması nedeniyle tehdit aktörlerinin Rus olabileceğini öne sürüyorlar.
Screentime’da TA866, kurbanların WasabiSeed adlı kötü amaçlı yükü indirmelerini sağlamak için kimlik avı e-postaları gönderiyordu. Bu kötü amaçlı yazılım, hedef uç noktada kalıcılık oluşturur (yeni sekmede açılır)ve ardından tehdit aktörlerinin o sırada neyi uygun gördüklerine bağlı olarak farklı ikinci aşama yükleri sunar.
Bazen, açıklayıcı bir ada sahip kötü amaçlı yazılım olan Screenshotter’ı sunarken, diğer zamanlarda Etki Alanı profili oluşturucu, Stealer yükleyici ve Rhadamanthys hırsızı sağlayan sonsuz döngü bileşeni olan AHK Bot’u sunardı.
Proofpoint, genel olarak konuşursak, grubun finansal olarak motive olduğunu savunuyor. Ancak, araştırmacıları grubun bazen casuslukla da ilgilendiğine inandıran örnekler vardı. Çoğunlukla Amerika Birleşik Devletleri ve Almanya’daki kuruluşları hedef aldı. Sektörler açısından ayrım gözetmez – kampanyalar tüm sektörleri etkiler.
Screentime kampanyalarının ilk belirtilerinin Ekim 2022’de görüldüğünü söyleyen Proofpoint, etkinliğin 2023’te de devam ettiğini sözlerine ekledi. Aslında, bu yılın Ocak ayı sonlarında, araştırmacılar binden fazla kuruluşu hedefleyen “onbinlerce e-posta mesajı” gözlemlediler.
işletim-sistemi-1