Kaspersky, kötü amaçlı Janicab yazılımında yeni işlevler belirledi

Kaspersky uzmanları, kar gözeten bir APT grubu olan DeathStalker tarafından, sektördeki belirli kuruluşlara sızmak için kullanılan kötü amaçlı Janicab yazılımında yeni işlevler belirledi. Buna göre yeni varyant, Avrupa ile Orta Doğu bölgelerinde tespit edildi ve enfeksiyon zincirinin bir parçası olarak YouTube gibi yasal servislerden yararlanıyor.

Janicab enfeksiyonları, dijital şantaj veya fidye yazılımı gibi siber saldırılardan kaynaklanan daha geleneksel hasarın aksine lojistik ve yasal sıkıntılara, rakiplere avantaj sağlamaya, ani ve peşin hükümlü süreç denetimlerine ve fikri mülkiyetin kötüye kullanılmasına yol açabiliyor.

Janicab’ı modüler, derleyici tarafından yorumlanmış programlama diline sahip kötü amaçlı yazılım olarak kabul edilebiliriz; bu, saldırganın az bir çabayla Janicab’e fonksiyonlar veya gömülü dosyalar ekleyebileceği/kaldırabileceği anlamına geliyor. Kaspersky telemetrisine dayalı olarak (hedefe teslim mekanizması hedefe yönelik kimlik avı olarak kalsa da) daha yeni Janicab varyantları, birkaç Python dosyası ve diğer kodlama yapaylıklarını içeren arşivlerin varlığıyla önemli ölçüde değişti. Buna göre bir kurban, kötü amaçlı dosyayı açması için kandırıldığında, zincirleme olarak bir dizi kötü amaçlı dosyaya maruz kalıyor.

DeathStalker’ın saldırgan yazılımının ayırt edici özelliklerinden bir diğeri, sonrasında kötü amaçlı yazılım implantı tarafından deşifre edilen kodlanmış bir diziyi barındırmak için DDR ve web servislerini kullanıyor olması. En son raporlara göre Kaspersky, 2021 yılındaki ihlallerde de tespit edilmiş bazı eski YouTube bağlantılarının tekrar kullanıldığını duyurdu. Arama motorlarında listelenmemiş olan web bağlantılarının sezgisel olmaması ve saptanmasının daha zor olması nedeniyle, saldırgan tespit edilmeden çalışabiliyor ve C2 altyapısını yeniden kullanabiliyor.

DeathStalker’ın geleneksel etki alanına giren etkilenen kuruluşlar öncelikli olarak yasal ve finansal yatırım yönetimi (FSI) kurumları olarak biliniyor. Ancak Kaspersky, seyahat acentelerini de etkileyen bazı tehdit faaliyetlerini de kaydetti. Avrupa bölgesi, Orta Doğu ile birlikte, -ülkeler arasında yoğunluk oranı değişmekle birlikte- DeathStalker için tipik bir çalışma alanı olarak gözüküyor.