Yeni ve daha önce tanımlanmamış bir tehdit aktörü, Azerbaycan ve İsrail'i hedef alan ve hassas bilgileri çalmayı amaçlayan bir dizi saldırıyla ilişkilendirildi.
Bu saldırı kampanyası, 1 Temmuz 2024'te NSFOCUS tarafından keşfedildi ve Azerbaycan ve İsrail'den diplomatları hedef almak için özel olarak hazırlanmış oltalama (spear-phishing) e-postalarını kullandı. Aktivite, Actor240524 kod adı altında izleniyor.
"Siber güvenlik firması, geçen hafta yayımlanan bir analizde, 'Actor240524, gizli bilgileri çalma ve dosya verilerini değiştirme yeteneğini gösterdi ve saldırı yöntemlerinin maruz kalmasını minimize etmek için çeşitli karşı önlemler kullanıyor' dedi.
Saldırı süreci, Microsoft Word belgeleri içeren oltalama e-postaları ile başlıyor. Bu belgeler açıldığında, alıcılara “İçeriği Etkinleştir” seçeneği sunularak, ABCloader (“MicrosoftWordUpdater.log”) adlı ara yükleyici yükünü başlatan kötü amaçlı bir makro çalıştırmaları isteniyor.
Sonrasında, ABCloader, bir DLL kötü amaçlı yazılımı olan ABCsync (“synchronize.dll”) adlı dosyayı şifre çözme ve yükleme işlevi görür; bu dosya, komut almak ve çalıştırmak üzere uzak bir sunucuya (“185.23.253[.]143”) iletişim kurar.
NSFOCUS’a göre, “ABCsync'in birincil rolü, çalışma ortamını değerlendirmek, programı şifre çözüp, bir sonraki DLL'i (ABCsync) yüklemektir.” Kötü amaçlı yazılım ayrıca, çalışma ortamını tespit etmek için çeşitli anti-sandbox ve anti-analiz teknikleri kullanır.
ABCsync'in ana işlevleri arasında uzaktan kabuklar çalıştırmak, cmd.exe aracılığıyla komutlar vermek ve sistem bilgilerini ve diğer verileri çıkarmak yer alır.
Hem ABCloader hem de ABCsync'in, kritik dosya yollarını, adlarını, anahtarlarını, hata mesajlarını ve komut ve kontrol (C2) adreslerini gizlemek için dize şifreleme gibi teknikler kullandığı gözlemlendi. Ayrıca, işlemlerinin bir sanal makinede veya sandbox'ta çalışıp çalışmadığını doğrulamak için ekran çözünürlüğünü kontrol eden birkaç test gerçekleştirirler.
Actor240524 tarafından kullanılan bir diğer önemli taktik, enfekte olmuş sistemde çalışan süreçlerin sayısının 200'ün altında olup olmadığını kontrol etmek ve eğer öyleyse, kötü amaçlı süreci sonlandırmaktır.
ABCloader ayrıca, “synchronize.exe” adında benzer bir yükleyici ve “vcruntime190.dll” veya “vcruntime220.dll” adlı DLL dosyasını dağıtacak şekilde programlanmıştır; bu dosyalar, ana makinede süreklilik sağlama kapasitesine sahiptir.
NSFOCUS, “Azerbaycan ve İsrail, güçlü ekonomik ve siyasi bağlara sahip müttefik ülkelerdir.” dedi. Actor240524’in operasyonunun, bu iki ülke arasındaki işbirliğini bozmaya yönelik olduğu ve her iki ülkenin diplomatik personeline karşı oltalama saldırıları hedef aldığı ihtimali yüksek.''