MacOS ve Windows İşletim Sistemlerini Hedef Alan Yeni Bir Zararlı Yazılım Kampanyası Tespit Edildi

WildPressure APT grubunun enerji sektörü işletmelerini hedefleyen en son kampanyalarında yeni bir macOS zararlı yazılım varyantını kullandığı tespit edilmiştir. Saldırıların arkasındaki tehdit aktörleri saldırıları gerçekleştirmek için güvenliği ihlal edilmiş WordPress web sitelerini kullanmaktadır. (Referans Linki)

İlk olarak Mart 2020’de tespit edilen ve Milum olarak adlandırılan yeni varyant; Windows ve macOS sistemleriyle uyumlu bir Trojan Dropper’ı içeren bir PyInstaller paketi ile yeniden düzenlenmiştir. Kampanyanın arkasındaki tehdit aktörleri enfekte olan sistemler üzerinde dosya yükleme ve komut yürütme gibi zararlı faaliyetler gerçekleştirmektedir. Güvenlik araştırmacıları tarafından yapılan analizler sonucu yeni zararlı yazılımın, Python kitaplığını (PyInstaller) ve ‘Guard’ adlı bir komut dosyasını içeren bir pakette teslim edildiği gözlemlenmiştir. Bu durum, zararlı yazılımın hem macOS hem de Windows üzerinde başlatılmasını sağlamaktadır.

Söz konusu zararlı yazılımların oluşturacağı riskleri en aza indirmek adına güvenilir bir güvenlik çözümünün kullanılması, bilinmeyen kaynaklardan dosya indirilmemesi ve kullanılan sistem ve programların güncel tutulması tavsiye edilmektedir. Buna ek olarak zararlı yazılıma ait IoC bulgularının kullanılan güvenlik cihazlarından engellenmeleri önerilmektedir.

Filehash-SHA256:

7eafb957c2e715e06489a979a185f75d7a9d502223c8aba36e7b6b8ead7d03b2
c13203272b03669a69689fe3e5e1432d2734da3b277f17af20d59bd9ca7d01b8

C&C DOMAIN:

hxxp://107.158.154[.]66/core/main.php
hxxp://185.177.59[.]234/core/main.php
hxxp://37.59.87[.]172/page/view.php
hxxp://80.255.3[.]86/page/view.php
hxxp://www.mwieurgbd114kjuvtg[.]com/core/main.php

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!