Haber Detayı
HoneyMytein yeni saldırıları ortaya çıktı
GReAT uzmanları, HoneyMyte APT grubunun CoolClient arka kapısını yeni özelliklerle geliştirdiğini, tarayıcı oturum bilgilerini hedef alan birden fazla veri hırsızı varyantı kullandığını ve veri hırsızlığı ile keşif amaçlı çeşitli scriptler devreye aldığını tespit etti.
Güvenlik uzmanlarının HoneyMytee ait birden fazla kampanyada gözlemlediği CoolClient arka kapısının en güncel sürümü, sıklıkla PlugX ve LuminousMoth ile birlikte ikincil bir arka kapı olarak dağıtılıyor.Temel olarak DLL side-loading tekniğini kullanan bu yapı, kötü amaçlı bir DLLin çalıştırılabilmesi için meşru ve dijital olarak imzalanmış bir uygulamaya ihtiyaç duyuyor.Tehdit aktörünün 2021–2025 yılları arasında farklı yazılım ürünlerine ait imzalı dosyaları istismar ettiği, son kampanyalarda ise Sangfora ait imzalı bir uygulamadan yararlanıldığı belirlendi.
En son geliştirmeler kapsamında, pano (clipboard) izleme ve aktif pencere takibi gibi yeni yetenekler eklendi.Bu özellikler sayesinde pano içeriği; aktif uygulamanın pencere başlığı, işlem kimliği (PID) ve zaman damgasıyla kaydedilerek, kopyalanan verilerin bağlamı üzerinden kullanıcı aktivitelerinin izlenmesine olanak tanıyor.CoolClient ayrıca ağ trafiği üzerinden HTTP proxy kimlik bilgilerini çıkarabilme yeteneğiyle de geliştirildi.
Bu teknik, HoneyMyte zararlı yazılımlarında ilk kez gözlemlendi.Araştırma kapsamında, CoolClienta ait ve aktif olarak kullanılan birden fazla eklenti (plugin) de tespit edildi.
Bu durum, aracın özel eklentiler aracılığıyla genişletilebilir bir yapıya sahip olduğunu gösteriyor.HoneyMyte, yürüttüğü bazı siber casusluk kampanyalarında sistem bilgisi toplamak, belgeleri sızdırmak ve tarayıcılarda saklanan kimlik bilgilerini ele geçirmek amacıyla scriptlerden yararlandı.Grup ayrıca, operasyon sonrası aşamada (post-exploitation) yeni bir Chrome kimlik bilgisi hırsızı zararlı yazılım sürümü kullandı.
Bu yazılımın, ToneShell kampanyasında görülen örneklerle önemli ölçüde kod benzerliği taşıdığı belirlendi.
