Azerbaycan ‘ı Hedef Alan Kötü Amaçlı Yazılım

Deep Instinct Threat Lab tarafından keşfedilen bu yeni kötü amaçlı yazılım kampanyası, Azerbaycan hedeflerini hedef alıyor. Kampanya, Rust programlama dilinde yazılmış yeni bir kötü amaçlı yazılım kullanarak dikkat çekiyor. Bu yazılım güvenlik çözümleri ve tersine mühendislik yoluyla tespit edilmesi oldukça zor.

Kampanya, en az iki farklı başlangıç erişim vektörü kullanıyor. İlk vektör, “1.KARABAKH.jpg.lnk” adında sahte bir resim dosyası gibi görünen bir LNK dosyasını içeriyor. Bu dosya, kurbanları tıklamaya ikna etmek için çift uzantı kullanıyor. LNK dosyası Dropbox’ta barındırılan bir MSI yükleyicisini indiriyor ve çalıştırıyor. Bu yükleyici daha sonra Rust programlama dilindeki yazılımı yürütmek için zamanlanmış bir görev için bir XML dosyasını ve sahte bir Azerbaycan Savunma Bakanlığı (MOD) sembolü içeren görüntü dosyasını bırakıyor.

İkinci başlangıç erişim vektörü ise daha önce Storm-0978 grubu tarafından kullanılan bir belgenin değiştirilmiş versiyonunu içeriyor. Bu belge, kötü amaçlı bir MSI dosyasını indirip yüklemek için Microsoft Denklem Düzenleyicisindeki CVE-2017-11882 güvenlik açığından yararlanıyor. Bu MSI dosyası da Rust çeşidini içeriyor ve sahte bir PDF faturasıyla birlikte geliyor.

Rust yazılımı çalıştırıldığında, 12 dakika boyunca uyku moduna geçiyor, bu da güvenlik araştırmacıları tarafından tespit edilmesini zorlaştırıyor. Daha sonra yazılım, bilgi toplama işlemini gerçekleştiriyor ve bu bilgileri saldırganın sunucusuna iletiyor.

Saldırının kaynağı henüz belirlenemedi, ancak Rust’un kullanılması ve kötü amaçlı yazılımların sıfır algılama ile başlatılması, güvenlik önlemlerini aşmayı daha zor hale getiriyor. Bu nedenle, organizasyonların yazılımlarını güncel tutmaları, çalışanlarını siber güvenlik konusunda eğitmeleri ve kapsamlı bir güvenlik çözümü kullanmaları önemlidir.