Diqqət ! Hakerlər tərəfindən Out to Sea Kiber Cəsusluq kampaniyasında istifadə edilən Marlin adlı yeni bekdor

Xüsusi Hədəflənmiş Kiberhücumlarla (APT) diqqət çəkən kiberqruplaşma 2018-ci ilin aprelində başlayan uzunmüddətli kiber cəsusluq kampaniyasının bir hissəsi olaraq "Marlin" adlı yeni bekdor proqramını əlavə etmək üçün zərərli proqram aləti dəstini yeniləyib. Slovakiyanın kibertəhlükəsizlik şirkəti ESET, kod adı "Out to Sea" olan hücumları OilRig (APT34 olaraq da tanınır) adlı kiber qruplaşmaya aid edib və həmçinin onların fəaliyyətini "Lyceum" adlanan qrup ilə güclü şəkildə əlaqələndirib.

ESET şirkəti The Hacker News tərəfindən dərc edilmiş T3 2021 təhlükə hesabatında bildirib ki, bu kampaniyanın qurbanları sırasında İsrail, Tunis və Birləşmiş Ərəb Əmirliklərinin diplomatik təşkilatları, texnologiya şirkətləri və tibb təşkilatları var. Təxminən 2014-cü ildən bəri fəaliyyət göstərən haker qrupunun Yaxın Şərqdəki hökumətlər və kimyəvi maddələr, enerji, maliyyə və telekommunikasiya da daxil olmaqla müxtəlif biznes sahələrini hədəf aldığı məlum olub. 2021- ci ilin aprel ayında kiber qruplaşma SideTwist adlı implantla Livanda bir qurumu hədəfə aldı, əvvəllər "Lyceum" kiberhücum qrupunun həyata keçirdiyi ehtimal olunan kiber qruplaşma kampaniyaları isə hədəf olaraq İsrail, Mərakeş, Tunis və Səudiyyə Ərəbistanında fəaliyyət göstərən İT şirkətlərini seçdi. 2018-ci ildə işıq üzü gördükdən sonra Lyceum yoluxma zəncirləri DanBot-dan başlayaraq 2021-ci ildə "Shark" və "Milana" keçidindən sonra 2021-ci ilin avqustunda Marlin adlı yeni məlumat toplama proqramından istifadə edərək aşkar edilən hücumlarla bir çox bekdorlara giriş üçün istifadə etmələri ilə də diqqət çəkir.

Dəyişikliklər bununla bitmir. Əmr və idarəetmə (C&C) mərkəzi üçün DNS and HTTPS istifadəsini nəzərdə tutan ənənəvi OilRig TTP-lərdən fərqlənən "Marlin" öz C2 əməliyyatları üçün Microsoft OneDrive API-dan istifadə edir. ESET, şəbəkəyə ilkin girişin spear phishing eləcə də ITbrain və TeamViewer kimi uzaqdan giriş və idarəetmə proqramları vasitəsilə əldə edildiyini bildirərək, OilRig və Lyceum arasındakı üsul və vasitə oxşarlıqlarının "çox sayda və spesifik" olduğunu qeyd etdi. Tədqiqatçılar qeyd edib ki, "ToneDeaf"  bekdor ilk olaraq HTTP/S vasitəsilə C&C ilə rabitə qurub lakin ikinci dərəcəli düzgün işləməyən DNS tunelləmə protokolunu da buraya daxil edib". "Shark da oxşar xüsusiyyətləri daşıyır, burada əsas rabitə metodu kimi DNS-dən istifadə edilir, lakin ikinci dərəcəli qeyri-funksional HTTP/S seçimi də mövcuddur." Sistem məlumatlarının toplanması, faylların yüklənməsi, endirilməsi və ixtiyari shell (əmr örtüyü) əmrlərinin yerinə yetirilməsini təmin edən ToneDeaf  proqramı, 2019-cu ilin iyul ayında Yaxın Şərqdə fəaliyyət göstərən geniş sənaye sahələrini hədəf alan APT34 kiber qruplaşma tərəfindən yerləşdirilən zərərli proqramdır.

Bundan  əlavə,  müşahidələr, HTTP/S-dən ikinci dərəcəli üsul kimi istifadə etməklə yanaşı, DNS-in C&C rabitə kanalı kimi həddən artıq çox , həmçinin C&C serverindən faylların yüklənməsi və endirilməsi üçün bekdorun iş kataloqunda çoxlu qovluqdan istifadə edildiyini göstərdi.