Kaspersky uzmanları, kar gözeten bir APT grubu olan DeathStalker tarafından, sektördeki belirli kuruluşlara sızmak için kullanılan kötü amaçlı Janicab yazılımında yeni işlevler belirledi. Buna göre yeni varyant, Avrupa ile Orta Doğu bölgelerinde tespit edildi ve enfeksiyon zincirinin bir parçası olarak YouTube gibi yasal servislerden yararlanıyor.

Janicab enfeksiyonları, dijital şantaj veya fidye yazılımı gibi siber saldırılardan kaynaklanan daha geleneksel hasarın aksine lojistik ve yasal sıkıntılara, rakiplere avantaj sağlamaya, ani ve peşin hükümlü süreç denetimlerine ve fikri mülkiyetin kötüye kullanılmasına yol açabiliyor.

Janicab’ı modüler, derleyici tarafından yorumlanmış programlama diline sahip kötü amaçlı yazılım olarak kabul edilebiliriz; bu, saldırganın az bir çabayla Janicab’e fonksiyonlar veya gömülü dosyalar ekleyebileceği/kaldırabileceği anlamına geliyor. Kaspersky telemetrisine dayalı olarak (hedefe teslim mekanizması hedefe yönelik kimlik avı olarak kalsa da) daha yeni Janicab varyantları, birkaç Python dosyası ve diğer kodlama yapaylıklarını içeren arşivlerin varlığıyla önemli ölçüde değişti. Buna göre bir kurban, kötü amaçlı dosyayı açması için kandırıldığında, zincirleme olarak bir dizi kötü amaçlı dosyaya maruz kalıyor.

DeathStalker'ın saldırgan yazılımının ayırt edici özelliklerinden bir diğeri, sonrasında kötü amaçlı yazılım implantı tarafından deşifre edilen kodlanmış bir diziyi barındırmak için DDR ve web servislerini kullanıyor olması. En son raporlara göre Kaspersky, 2021 yılındaki ihlallerde de tespit edilmiş bazı eski YouTube bağlantılarının tekrar kullanıldığını duyurdu. Arama motorlarında listelenmemiş olan web bağlantılarının sezgisel olmaması ve saptanmasının daha zor olması nedeniyle, saldırgan tespit edilmeden çalışabiliyor ve C2 altyapısını yeniden kullanabiliyor.

DeathStalker’ın geleneksel etki alanına giren etkilenen kuruluşlar öncelikli olarak yasal ve finansal yatırım yönetimi (FSI) kurumları olarak biliniyor. Ancak Kaspersky, seyahat acentelerini de etkileyen bazı tehdit faaliyetlerini de kaydetti. Avrupa bölgesi, Orta Doğu ile birlikte, -ülkeler arasında yoğunluk oranı değişmekle birlikte- DeathStalker için tipik bir çalışma alanı olarak gözüküyor.

Kaspersky’nin META Araştırma Merkezi Başkanı Dr. Amin Hasbini "Yasal ve finansal kurumlar bu saldırgan için ortak bir hedef olduğundan, DeathStalker'ın ana hedeflerinin VIP'ler, büyük finansal varlıklar ve rekabetçi iş zekası ile birleşme ve devralmalara ilişkin gizli bilgilerin yağmalanmasına dayandığını güvenle varsayabiliriz. Bu sektörlerde faaliyet gösteren kuruluşlar, verilerin güvende kalmasını sağlamak için bu tür izinsiz girişlere proaktif olarak hazırlanmalı ve / veya tehdit modellerini güncellemelidir.” diyor 

Saldırgan, Python, VBE ve VBS gibi derleyici aracılığıyla kullanılan yazılım dili tabanlı kötü amaçlı yazılımları hem geçmişteki hem de yakın zamandaki ihlallerde kullanmaya devam ettiğinden, etkilenen kurumların herhangi bir ihlal girişimini engelleyebilmek için beyaz listeye ekli olan uygulamalara ve işletim sistemini güçlendirmeye güvenmesi gerekiyor. Ayrıca Janicab, C2 altyapısıyla iletişim kurmak için Internet Explorer'ı gizli modda kullandığından, güvenlik programlarının GUI olmadan çalışan Internet Explorer işlemlerini de denetlemesi sağlanmalı diye düşünüyoruz.