Cisco Talos’tan gelen değerlendirme, Kazakça ve Rusça’daki akıcılıklarına, altyapı işletimi için Tenge kullanmalarına ve hükümetin Yolsuzlukla Mücadele Ajansı hariç olmak üzere Kazakistan’daki kuruluşların çok sınırlı hedeflenmesine dayanıyor [ exe aracılığıyla virüslü uç noktalarda komutları çalıştırmak için özel olarak oluşturulmuş etkileşimli bir ters kabuk kullanılmasını gerektirir ]kz, web sitesini potansiyel güvenlik açıklarına karşı izlemeye yönelik çabaların devam ettiğini gösteriyor
Tehdit aktörünün kampanyalarının kamuya açıklanması, ticari amaçlı kötü amaçlı yazılımlardan Python, PowerShell, Golang ve Rust’ta programlanan özel araçlara geçiş yaparak cephaneliğinin taktiksel olarak yenilenmesine yol açtı ]com Tenge’yi Bitcoin’e dönüştürmek ve altyapı bakımı için ödeme yapmak için PowerShell RAT, gelen komutları kabul etmek ve Telegram aracılığıyla verileri dışarı çıkarmak için tasarlanmıştır
Haziran 2023’ten itibaren, YoroTrooper’ın BDT ülkelerini hedeflemesine, özel implantlara daha fazla odaklanma eşlik ederken, kurban ağlarını tespit etmek ve bunlara sızmak için eş zamanlı olarak Acunetix gibi güvenlik açığı tarayıcıları ve Shodan gibi arama motorlarından gelen açık kaynaklı veriler kullanılıyor
26 Ekim 2023Haber odasıUç Nokta Koruması / Kötü Amaçlı Yazılım
Olarak bilinen nispeten yeni bir tehdit aktörü YoroTrooper muhtemelen Kazakistan kökenli operatörlerden oluşuyor
YoroTrooper’ın saldırı döngüleri öncelikle çeşitli emtia ve açık kaynak hırsızı kötü amaçlı yazılımları dağıtmak için hedef odaklı kimlik avına dayanıyor; ancak grubun kurbanları saldırgan kontrollü kimlik bilgisi toplama sitelerine yönlendirmek için ilk erişim vektörünü kullandığı da gözlemlendi ” söz konusu
Ayrıca Google’da Tenge ile Bitcoin arasındaki para birimi dönüştürme oranlarını (“btc’den kzt’ye”) periyodik olarak kontrol eder ve alfachange’i kullanır[
YoroTrooper’ın, arka kapıları için birden fazla dağıtım aracı türünü denemenin yanı sıra, Eylül 2023 itibarıyla Golang ve Rust tabanlı kötü amaçlı yazılımları da ekleyerek ters kabuk oluşturmasına ve hassas verileri toplamasına olanak tanıdığı söyleniyor
Araştırmacılar, “Golang tabanlı implantları, dosya sızdırma ve C2 iletişimi için Telegram kanallarını kullanan Python tabanlı RAT bağlantı noktalarıdır” diye açıkladı
Bir diğer dikkate değer husus, NordVPN aboneliği ve netx’ten bir VPS örneği dahil olmak üzere araç ve hizmetleri kaydetmek ve satın almak için e-posta hesaplarının kullanılmasıdır
Siber güvenlik şirketi tarafından ilk olarak Mart 2023’te belgelenen düşmanın, Bağımsız Devletler Topluluğu (BDT) ülkelerindeki çeşitli devlete ait kuruluşları öne çıkararak en az Haziran 2022’den beri aktif olduğu biliniyor
Hedeflerden bazıları arasında Tacikistan Ticaret Odası, İlaç Kontrol Ajansı, Dışişleri Bakanlığı, Kırgızistan Kırgız Komur ve Özbekistan Cumhuriyeti Enerji Bakanlığı yer alıyordu
Araştırmacılar, “Kimlik bilgisi toplama uygulaması, YoroTrooper’ın kötü amaçlı yazılım tabanlı operasyonlarını tamamlayıcı niteliktedir ve nihai amaç veri hırsızlığıdır” dedi
Enfeksiyon zincirinde yapılan büyük bir güncelleme, Python tabanlı uzaktan erişim truva atını (RAT) PowerShell’e taşımanın yanı sıra, cmd
siber-2
Aktörün Kazakistan’la güçlü bağları, devletin sahip olduğu e-posta hizmeti olan postanın düzenli olarak güvenlik taramalarını gerçekleştirmesinden kaynaklanıyor
Güvenlik araştırmacıları Asheer Malhotra ve Vitor Ventura, “YoroTrooper, kötü niyetli faaliyetlerini Azerbaycan’dan geliyormuş gibi göstermek için o bölgedeki yerel VPN çıkış düğümlerini kullanmak gibi çeşitli taktikler kullanarak operasyonlarının kökenini gizlemeye çalışıyor ]Aylık 16 dolara hosting