Nov 22, 2024Ravie LakshmananCyber Attack/Malware Mwigizaji tishio anayejulikana kama Mysterious Elephant amezingatiwa kwa kutumia toleo la kina la programu hasidi inayoitwa Asynshell. Kampeni ya shambulio hilo inasemekana kutumia vielelezo vyenye mada za Hajj kuwahadaa waathiriwa kutekeleza mzigo wa malipo hasidi chini ya kivuli cha faili ya Microsoft Compiled HTML Help (CHM), timu ya Knownsec 404 ilisema katika uchanganuzi uliochapishwa leo. Tembo wa ajabu, ambaye pia anajulikana kama APT-K-47, ni mwigizaji tishio mwenye asili ya Asia Kusini ambaye amekuwa akifanya kazi tangu angalau 2022, akilenga huluki za Pakistani. Mbinu na zana za kikundi zimepatikana kushiriki mfanano na zile za watendaji wengine tishio wanaofanya kazi katika mikoa, kama vile SideWinder, Confucius, na Bitter. Mnamo Oktoba 2023, kikundi hicho kilihusishwa na kampeni ya wizi wa mkuki iliyowasilisha mlango wa nyuma unaoitwa ORPCBackdoor kama sehemu ya mashambulizi yaliyoelekezwa dhidi ya Pakistan na nchi nyingine. Vekta halisi ya ufikiaji iliyotumiwa na Mysterious Elephant katika kampeni ya hivi punde haijulikani, lakini inaelekea inahusisha matumizi ya barua pepe za kuhadaa. Njia hii inaongoza kwenye uwasilishaji wa faili ya kumbukumbu ya ZIP ambayo ina faili mbili: faili ya CHM inayodai kuwa kuhusu sera ya Hajj mwaka wa 2024 na faili iliyofichwa inayoweza kutekelezeka. CHM inapozinduliwa, hutumika kuonyesha hati ya udanganyifu, faili halali ya PDF iliyopangishwa kwenye tovuti ya serikali ya Wizara ya Masuala ya Kidini na Maelewano ya Dini ya Pakistani, huku mfumo wa jozi ukitekelezwa kwa siri chinichini. Programu hasidi iliyo moja kwa moja, imeundwa kuanzisha ganda la cmd na seva ya mbali, huku Knownsec 404 ikitambulisha miingiliano ya utendaji na Asyncshell, zana nyingine ambayo mwigizaji tishio ametumia mara kwa mara tangu nusu ya pili ya 2023. Kadiri matoleo manne tofauti ya Asyncshell yanayo. imegunduliwa hadi sasa, uwezo wa kujivunia kutekeleza amri za cmd na PowerShell. Misururu ya mashambulizi ya awali inayosambaza programu hasidi imepatikana ili kuongeza dosari ya usalama ya WinRAR (CVE-2023-38831, alama ya CVSS: 7.8) ili kuanzisha maambukizi. Zaidi ya hayo, marudio yaliyofuata ya programu hasidi yamebadilika kutoka kwa kutumia TCP hadi HTTPS kwa mawasiliano ya amri na udhibiti (C2), bila kusahau kutumia mlolongo uliosasishwa wa mashambulizi ambao unatumia Hati ya Visual Basic ili kuonyesha hati ya udanganyifu na kuizindua kwa njia ya kazi iliyopangwa. “Inaweza kuonekana kuwa APT-K-47 imetumia Asyncshell mara kwa mara kuzindua shughuli za shambulio tangu 2023, na imeboresha hatua kwa hatua safu ya ushambuliaji na nambari ya malipo,” timu ya Knownsec 404 ilisema. “Katika shughuli za hivi majuzi za kushambulia, kikundi hiki kimetumia kwa ujanja maombi ya huduma iliyofichwa kudhibiti anwani ya mwisho ya seva ya ganda, ikibadilika kutoka C2 isiyobadilika ya matoleo ya awali hadi C2 tofauti, ambayo inaonyesha umuhimu wa shirika la APT-k-47 kuweka kwenye Asyncshell. ” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply