Kaspersky uzmanları kar gözeten bir APT kümesi olan DeathStalker tarafından kesimdeki muhakkak kuruluşlara sızmak için Esat Travesti kullanılan berbat hedefli Janicab yazılımında yeni fonksiyonlar belirledi Buna nazaran yeni varyant Avrupa ile Orta Doğu bölgelerinde tespit edildi ve enfeksiyon zincirinin bir kesimi olarak YouTube üzere yasal servislerden yararlanıyor Kızılay Travesti Janicab enfeksiyonları dijital şantaj yahut fidye yazılımı üzere siber akınlardan kaynaklanan daha klasik hasarın bilakis lojistik ve yasal meşakkatlere rakiplere avantaj sağlamaya ani ve peşin hükümlü süreç kontrollerine ve fikri izmir Travesti mülkiyetin berbata kullanılmasına yol açabiliyor Janicab ı modüler derleyici tarafından yorumlanmış programlama lisanına sahip makus emelli yazılım olarak kabul edilebiliriz bu saldırganın az bir gayretle Janicab e işlevler yahut gömülü Alsancak Travesti evraklar ekleyebileceği kaldırabileceği manasına geliyor Kaspersky telemetrisine dayalı olarak hedefe teslim düzeneği gayeye yönelik kimlik avı olarak kalsa da daha yeni Janicab varyantları birkaç Python evrakı ve başka kodlama yapaylıklarını Bornova Travesti içeren arşivlerin varlığıyla kıymetli ölçüde değişti Buna nazaran bir kurban berbat maksatlı belgeyi açması için kandırıldığında zincirleme olarak bir dizi berbat emelli belgeye maruz kalıyor DeathStalker’ın saldırgan yazılımının ayırt edici özelliklerinden bir oburu sonrasında berbat hedefli yazılım implantı tarafından deşifre edilen kodlanmış bir diziyi barındırmak için DDR ve web servislerini kullanıyor olması En son raporlara nazaran Kaspersky 2021 yılındaki ihlallerde de tespit edilmiş birtakım eski YouTube irtibatlarının tekrar kullanıldığını duyurdu Arama motorlarında listelenmemiş olan web irtibatlarının sezgisel olmaması ve saptanmasının daha güç olması nedeniyle saldırgan tespit edilmeden çalışabiliyor ve C2 altyapısını yine kullanabiliyor DeathStalker ın klasik tesir alanına giren etkilenen kuruluşlar öncelikli olarak yasal ve finansal yatırım idaresi FSI kurumları olarak biliniyor Lakin Kaspersky seyahat acentelerini de etkileyen kimi tehdit faaliyetlerini de kaydetti Avrupa bölgesi Orta Doğu ile birlikte ülkeler ortasında yoğunluk oranı değişmekle birlikte DeathStalker için tipik bir çalışma alanı olarak gözüküyor Kaspersky nin META Araştırma Merkezi Lideri Dr Amin Hasbini Yasal ve finansal kurumlar bu saldırgan için ortak bir gaye olduğundan DeathStalker’ın ana amaçlarının VIP’ler büyük finansal varlıklar ve rekabetçi iş zekası ile birleşme ve devralmalara ait bilinmeyen bilgilerin yağmalanmasına dayandığını itimatla varsayabiliriz Bu bölümlerde faaliyet gösteren kuruluşlar dataların inançta kalmasını sağlamak için bu cins müsaadesiz girişlere proaktif olarak hazırlanmalı ve yahut tehdit modellerini güncellemelidir diyor Saldırgan Python VBE ve VBS üzere derleyici aracılığıyla kullanılan yazılım lisanı tabanlı makus emelli yazılımları hem geçmişteki hem de yakın vakitteki ihlallerde kullanmaya devam ettiğinden etkilenen kurumların rastgele bir ihlal teşebbüsünü engelleyebilmek için beyaz listeye ekli olan uygulamalara ve işletim sistemini güçlendirmeye güvenmesi gerekiyor Ayrıyeten Janicab C2 altyapısıyla irtibat kurmak için Internet Explorer’ı saklı modda kullandığından güvenlik programlarının GUI olmadan çalışan Internet Explorer süreçlerini de denetlemesi sağlanmalı diye düşünüyoruz Kaynak BYZHA Beyaz Haber Ajansı
