Kaspersky, makus gayeli Janicab yazılımında yeni fonksiyonlar tespit etti

Şirket açıklamasına nazaran, yeni varyant, Avrupa ile Orta Doğu bölgelerinde tespit edildi ve enfeksiyon zincirinin bir kesimi olarak YouTube üzere yasal servislerden yararlanıyor.

Janicab enfeksiyonları, dijital şantaj yahut fidye yazılımı üzere siber akınlardan kaynaklanan daha klasik hasarın tersine lojistik ve yasal kahırlara, rakiplere avantaj sağlamaya, ani ve peşin hükümlü süreç kontrollerine ve fikri mülkiyetin berbata kullanılmasına yol açabiliyor.

PYTHON BELGESİ VE ÖBÜR KODLAMA ARŞİVLERİYLE DEĞİŞTİ

Janicab; modüler, derleyici tarafından yorumlanmış programlama lisanına sahip makus maksatlı yazılım olarak kabul edilebilir. Bu, saldırganın az bir uğraşla Janicab’e işlevler yahut gömülü belgeler ekleyebileceği yahut kaldırabileceği manasına geliyor. Kaspersky telemetrisine dayalı olarak daha yeni Janicab varyantları, birkaç Python evrakı ve başka kodlama yapaylıklarını içeren arşivlerin varlığıyla kıymetli ölçüde değişti. Buna nazaran bir kurban, makus maksatlı belgeyi açması için kandırıldığında, zincirleme olarak bir dizi berbat maksatlı belgeye maruz kalıyor.

DeathStalker’ın saldırgan yazılımının ayırt edici özelliklerinden bir başkası, sonrasında makus emelli yazılım implantı tarafından deşifre edilen kodlanmış bir diziyi barındırmak için DDR ve web servislerini kullanıyor olması. En son raporlara nazaran, Kaspersky, 2021 yılındaki ihlallerde de tespit edilmiş kimi eski YouTube ilişkilerinin tekrar kullanıldığını duyurdu. Arama motorlarında listelenmemiş olan web kontaklarının sezgisel olmaması ve saptanmasının daha sıkıntı olması nedeniyle saldırgan tespit edilmeden çalışabiliyor ve C2 altyapısını tekrar kullanabiliyor.

DeathStalker’ın klasik tesir alanına giren etkilenen kuruluşlar öncelikli olarak yasal ve finansal yatırım idaresi (FSI) kurumları olarak biliniyor. Kaspersky, seyahat acentelerini de etkileyen birtakım tehdit faaliyetlerini de kaydetti. Avrupa bölgesi, Orta Doğu ile birlikte DeathStalker için tipik bir çalışma alanı olarak gözüküyor.

KURULUŞLAR HAZIRLANMALI

Açıklamada görüşlerine yer verilen Kaspersky META Araştırma Merkezi Lideri Dr. Amin Hasbini, “Yasal ve finansal kurumlar bu saldırgan için ortak bir maksat olduğundan DeathStalker’ın ana gayelerinin VIP’ler, büyük finansal varlıklar ve rekabetçi iş zekası ile birleşme ve devralmalara ait saklı bilgilerin yağmalanmasına dayandığını itimatla varsayabiliriz. Bu dallarda faaliyet gösteren kuruluşlar, bilgilerin inançta kalmasını sağlamak için bu çeşit müsaadesiz girişlere proaktif olarak hazırlanmalı, tehdit modellerini güncellemelidir.” sözlerini kullandı.

Saldırgan, Python, VBE ve VBS üzere derleyici aracılığıyla kullanılan yazılım lisanı tabanlı makus maksatlı yazılımları hem geçmişteki hem de yakın vakitteki ihlallerde kullanmaya devam ettiğinden etkilenen kurumların rastgele bir ihlal teşebbüsünü engelleyebilmek için beyaz listeye ekli olan uygulamalara ve işletim sistemini güçlendirmeye güvenmesi gerekiyor. Ayrıyeten, Janicab, C2 altyapısıyla irtibat kurmak için Internet Explorer’ı bilinmeyen modda kullandığından güvenlik programlarının GUI olmadan çalışan Internet Explorer süreçlerini de denetlemesinin sağlanması gerekiyor.