Kaspersky uzmanları, kar gözeten bir APT grubu olan DeathStalker tarafından belirli kuruluşlara sızmak için kullanılan kötü amaçlı Janicab yazılımında yeni işlevler belirledi.

Şirket açıklamasına göre, yeni varyant, Avrupa ile Orta Doğu bölgelerinde tespit edildi ve enfeksiyon zincirinin bir parçası olarak YouTube gibi yasal servislerden yararlanıyor.

Janicab enfeksiyonları, dijital şantaj veya fidye yazılımı gibi siber saldırılardan kaynaklanan daha geleneksel hasarın aksine lojistik ve yasal sıkıntılara, rakiplere avantaj sağlamaya, ani ve peşin hükümlü süreç denetimlerine ve fikri mülkiyetin kötüye kullanılmasına yol açabiliyor.

Janicab; modüler, derleyici tarafından yorumlanmış programlama diline sahip kötü amaçlı yazılım olarak kabul edilebilir. Bu, saldırganın az bir çabayla Janicab'e fonksiyonlar veya gömülü dosyalar ekleyebileceği veya kaldırabileceği anlamına geliyor. Kaspersky telemetrisine dayalı olarak daha yeni Janicab varyantları, birkaç Python dosyası ve diğer kodlama yapaylıklarını içeren arşivlerin varlığıyla önemli ölçüde değişti. Buna göre bir kurban, kötü amaçlı dosyayı açması için kandırıldığında, zincirleme olarak bir dizi kötü amaçlı dosyaya maruz kalıyor.

DeathStalker'ın saldırgan yazılımının ayırt edici özelliklerinden bir diğeri, sonrasında kötü amaçlı yazılım implantı tarafından deşifre edilen kodlanmış bir diziyi barındırmak için DDR ve web servislerini kullanıyor olması. En son raporlara göre, Kaspersky, 2021 yılındaki ihlallerde de tespit edilmiş bazı eski YouTube bağlantılarının tekrar kullanıldığını duyurdu. Arama motorlarında listelenmemiş olan web bağlantılarının sezgisel olmaması ve saptanmasının daha zor olması nedeniyle saldırgan tespit edilmeden çalışabiliyor ve C2 altyapısını yeniden kullanabiliyor.

DeathStalker'ın geleneksel etki alanına giren etkilenen kuruluşlar öncelikli olarak yasal ve finansal yatırım yönetimi (FSI) kurumları olarak biliniyor. Kaspersky, seyahat acentelerini de etkileyen bazı tehdit faaliyetlerini de kaydetti. Avrupa bölgesi, Orta Doğu ile birlikte DeathStalker için tipik bir çalışma alanı olarak gözüküyor.

"Kuruluşlar, izinsiz girişlere proaktif olarak hazırlanmalı"

Açıklamada görüşlerine yer verilen Kaspersky META Araştırma Merkezi Başkanı Dr. Amin Hasbini, "Yasal ve finansal kurumlar bu saldırgan için ortak bir hedef olduğundan DeathStalker'ın ana hedeflerinin VIP'ler, büyük finansal varlıklar ve rekabetçi iş zekası ile birleşme ve devralmalara ilişkin gizli bilgilerin yağmalanmasına dayandığını güvenle varsayabiliriz. Bu sektörlerde faaliyet gösteren kuruluşlar, verilerin güvende kalmasını sağlamak için bu tür izinsiz girişlere proaktif olarak hazırlanmalı, tehdit modellerini güncellemelidir." ifadelerini kullandı.

Saldırgan, Python, VBE ve VBS gibi derleyici aracılığıyla kullanılan yazılım dili tabanlı kötü amaçlı yazılımları hem geçmişteki hem de yakın zamandaki ihlallerde kullanmaya devam ettiğinden etkilenen kurumların herhangi bir ihlal girişimini engelleyebilmek için beyaz listeye ekli olan uygulamalara ve işletim sistemini güçlendirmeye güvenmesi gerekiyor. Ayrıca, Janicab, C2 altyapısıyla iletişim kurmak için Internet Explorer'ı gizli modda kullandığından güvenlik programlarının GUI olmadan çalışan Internet Explorer işlemlerini de denetlemesinin sağlanması gerekiyor.