Uzay Korsanları, Yeni LuckyStrike Kötü Amaçlı Yazılımıyla Rusya'daki BT Şirketlerine Siber Saldırılar Başlattı

28.02.2025

Siber tehdit aktörü Sticky Werewolf'un, Rusya ve Belarus'ta hedefli saldırılarla bağlantılı olduğu ve belgelenmemiş bir implant aracılığıyla Lumma Stealer kötü amaçlı yazılımını dağıtmayı amaçladığı tespit edildi. Kaspersky'deki güvenlik araştırmacıları, bu faaliyetleri Angry Likho adı altında takip ediyor ve bunun daha önce bilinen Awaken Likho kampanyasına güçlü bir benzerlik gösterdiğini belirtiyor. Ancak Angry Likho, daha kompakt bir altyapı, daha az implant ve büyük kuruluşlardaki çalışanlara, özellikle devlet kurumları ve yüklenicilerine odaklanan daha spesifik bir hedefleme stratejisi ile faaliyet gösteriyor.

Analizler, saldırganların oltalama dosyalarında akıcı Rusça kullanmalarına dayanarak büyük olasılıkla ana dili Rusça olan kişiler olduğunu gösteriyor. Siber güvenlik firması F6, bu grubu "Ukrayna yanlısı bir siber casusluk grubu" olarak tanımlasa da, birincil hedefleri hâlâ Rusya ve Belarus'taki kuruluşlar olarak kalmaya devam ediyor. Rusya’da yüzlerce kurban tespit edilirken, gruba bağlı önceki kampanyalarda NetWire, Rhadamanthys, Ozone RAT ve Ande Loader aracılığıyla dağıtılan DarkTrack gibi çeşitli kötü amaçlı yazılımlar kullanılarak oltalama e-postalarıyla saldırılar düzenlendiği belirlendi.

Saldırı yöntemi, zararlı Windows kısayol (LNK) dosyalarını ve yasal görünen bir belgeyi içeren arşiv dosyalarını taşıyan hedefli oltalama e-postalarına dayanıyor. Çalıştırıldığında, bu dosyalar Lumma Stealer'ı dağıtmak için çok aşamalı bir enfeksiyon sürecini tetikliyor. Kaspersky araştırmacıları, kötü amaçlı yazılımın açık kaynaklı Nullsoft Scriptable Install System (NSIS) kullanılarak paketlendiğini ve kendiliğinden açılan bir arşiv olarak çalıştığını tespit etti. Güvenlik yazılımlarından kaçınmak için kötü amaçlı yazılım, sanal ortamlarda ve emülatörlerde çalışıp çalışmadığını kontrol ederek ya kendini sonlandırıyor ya da 10 saniyelik bir gecikmeyle çalışmaya devam ediyor. Bu teknik, daha önce Awaken Likho kampanyalarında da gözlemlenmiş olup, iki operasyon arasında bir bağlantı olabileceğini düşündürüyor.

Lumma Stealer, ele geçirilen sistemlerden çerezler, kimlik bilgileri, banka kartı bilgileri, kripto para cüzdanları ve kimlik doğrulama belirteçleri gibi hassas verileri çalmak için tasarlanmıştır. Özellikle web tarayıcılarında saklanan verileri, MetaMask gibi kripto cüzdan uzantılarını ve AnyDesk ile KeePass gibi uzaktan erişim araçlarını hedef alır.

Grup, kendi kötü amaçlı yazılımlarını geliştirmek yerine, darknet forumlarından kolayca erişilebilen zararlı araçlara güveniyor. Esas çabaları, sofistike kötü amaçlı yazılım dağıtım mekanizmaları oluşturmak ve yüksek değerli kuruluşları hedef alan özel oltalama kampanyaları düzenlemek üzerine yoğunlaşıyor.