Suriye e-Devlet Web Portalı aracılığıyla Android kötü amaçlı yazılımını dağıtan yeni bir kampanyada gelişmiş bir kalıcı tehdit (APT) aktörü izlendi ve bu, kurbanları tehlikeye atmak için tasarlanmış yükseltilmiş bir cephaneliğe işaret ediyor.
Trend Micro araştırmacıları Zhengyu Dong, Fyodor Yarochkin ve Steven Du teknik bir yazıda, “Bildiğimiz kadarıyla, grubun saldırılarının bir parçası olarak kötü niyetli Android uygulamaları kullandığı ilk kez kamuya açık bir şekilde gözlemlendi.” Dedi. Çarşamba yayınlandı.
Microsoft tarafından Promethium olarak da adlandırılan StrongPity’nin 2012’den beri aktif olduğuna ve genellikle Türkiye ve Suriye’deki hedeflere odaklandığına inanılıyor. Haziran 2020’de, casusluk tehdidi aktörü, hedeflere kötü amaçlı yazılım bulaştırmak için meşru uygulamaların popülaritesini kötüye kullanan watering hole saldırılarına ve kurcalanmış yükleyicilere dayanan bir faaliyet dalgasıyla bağlantılıydı.
Cisco Talos , geçen yıl “Promethium yıllar içinde dirençli olmuştur” açıklamasını yaptı. “Kampanyaları defalarca teşhir edildi, ancak bu, arkasındaki aktörleri durdurmaya yetmedi. Grubun ifşa olduktan sonra bile yeni kampanyalar başlatmaktan kaçınmaması, misyonunu yerine getirme kararlılığını gösteriyor.”
En son operasyon, tehdit aktörünün saldırıları kolaylaştırmak için iyi huylu uygulamaları Truva atlanmış varyantlara yeniden paketleme eğiliminin altını çizmesi bakımından farklı değil.
Suriye e-Gov Android uygulaması gibi görünen kötü amaçlı yazılımın, uygulamanın manifest dosyası (” AndroidManifest.xml “), telefonda okuma yeteneği de dahil olmak üzere açıkça ek izinler isteyecek şekilde değiştirilmiş olarak Mayıs 2021’de oluşturulduğu söyleniyor. Kişiler, harici depolama birimine yazın, cihazı uyanık tutun, hücresel ve Wi-Fi ağları, kesin konum hakkındaki bilgilere erişin ve hatta sistem önyüklemeyi bitirir bitirmez uygulamanın kendisini başlatmasına izin verin.
Ek olarak, kötü amaçlı uygulama, arka planda uzun süredir devam eden görevleri gerçekleştirmek ve “kötü amaçlı yazılımın ” davranışını yapılandırmaya göre değiştirin” ve C2 sunucu adresini güncelleyin.
Son olarak, “yüksek düzeyde modüler” implant, kişiler, Word ve Excel belgeleri, PDF’ler, resimler, güvenlik anahtarları ve Dagesh Pro Kelime İşlemcisi (.DGS) kullanılarak kaydedilen dosyalar gibi virüslü cihazda depolanan verileri gezinme kapasitesine sahiptir.), diğerleri arasında, tümü C2 sunucusuna geri sızdırılır.
StrongPity’nin saldırılarında kötü niyetli Android uygulamaları kullandığına dair bilinen bir kamu raporu olmamasına rağmen, Trend Micro’nun rakibe atıfta bulunması, daha önce bilgisayar korsanlığı grubuyla bağlantılı izinsiz girişlerde kullanılmış bir C2 sunucusunun kullanımından kaynaklanmaktadır, özellikle AT&T’den Alien tarafından belgelenen bir kötü amaçlı yazılım kampanyası Hedefleri aşmak için WinBox yönlendirici yönetim yazılımının, WinRAR’ın ve diğer güvenilir yardımcı programların kusurlu sürümlerinden yararlanan Temmuz 2019’daki laboratuvarlar.
Araştırmacılar, “Tehdit aktörünün, uygulamaları potansiyel kurbanlara ulaştırmanın, sahte uygulamalar kullanmak ve güvenliği ihlal edilmiş web sitelerini kullanıcıları kötü amaçlı uygulamalar yüklemeye kandırmak için sulama delikleri olarak kullanmak gibi birden fazla yolunu araştırdığına inanıyoruz.” Dedi.
“Tipik olarak, bu web siteleri, kullanıcılarının uygulamaları doğrudan cihazlarına indirmesini gerektirir. Bunu yapmak için, bu kullanıcıların cihazlarında ‘bilinmeyen kaynaklardan’ uygulamaların yüklenmesini etkinleştirmeleri gerekir. Bu, ‘güven- Android ekosisteminin zincirini oluşturuyor ve bir saldırganın ek kötü amaçlı bileşenler sunmasını kolaylaştırıyor” diye eklediler.