DarkCasino en son, kötü amaçlı yükleri başlatmak için silah olarak kullanılabilecek bir güvenlik açığı olan CVE-2023-38831’in (CVSS puanı: 7,8) sıfırıncı gün istismarıyla ilişkilendirilmişti
Siber güvenlik şirketi NSFOCUS açıkladı DarkCasino ilk kez 2021’de ortaya çıkan “ekonomik motivasyonlu” bir aktör olarak
Tehdit aktörünün kesin kaynağı şu anda bilinmiyor ”
siber-2
“İlk günlerde DarkCasino, çoğunlukla Akdeniz çevresindeki ülkelerde ve diğer Asya ülkelerinde çevrimiçi finansal hizmetleri kullanarak faaliyet gösteriyordu” dedi
“Birçok APT grubu, hedeflerin koruma sistemini atlatmayı ve amaçlarına ulaşmayı umarak hükümetler gibi kritik hedeflere saldırmak için bu güvenlik açığının pencere döneminden yararlandı
Kötü amaçlı yazılım, ana bilgisayar bilgilerini toplayacak, ekran görüntüleri alacak, dosyaları ve Windows Kayıt Defterini değiştirecek, rastgele komutlar yürütecek ve ele geçirilen ana bilgisayarda kendini güncelleyecek donanıma sahiptir
“Son zamanlarda, kimlik avı yöntemlerinin değişmesiyle birlikte saldırıları, Güney Kore ve Vietnam gibi İngilizce konuşulmayan Asya ülkeleri de dahil olmak üzere dünya çapındaki kripto para kullanıcılarına ulaştı
16 Kasım 2023Haber odasıGelişmiş Kalıcı Tehdit / Sıfır Gün
WinRAR yazılımında yakın zamanda açıklanan bir güvenlik kusurunu sıfır gün olarak kullanan bir bilgisayar korsanlığı grubu, artık tamamen yeni bir gelişmiş kalıcı tehdit (APT) olarak kategorize edildi söz konusu bir analizde
DarkCasino daha önce EvilNum grubu tarafından Avrupa ve Asya’daki çevrimiçi kumar, kripto para ve kredi platformlarını hedef alan bir kimlik avı kampanyası olarak sınıflandırılmış olsa da NSFOCUS, düşmanın faaliyetlerini sürekli takip etmesinin, bilinen tehdit aktörleriyle olası bağlantıları ortadan kaldırmasına olanak sağladığını söyledi ” dedi
Ghostwriter’ın bu eksiklikten yararlanan saldırı zincirlerinin, diğer yükler için yükleyici görevi gören orta düzey bir kötü amaçlı yazılım olan PicassoLoader’ın önünü açtığı gözlemlendi
NSFOCUS, “APT grubu DarkCasino’nun getirdiği WinRAR güvenlik açığı CVE-2023-38831, 2023’ün ikinci yarısında APT saldırı durumuna belirsizlikler getiriyor ”
Son aylarda APT28, APT40, Dark Pink, Ghostwriter, Konni ve Sandworm dahil olmak üzere çok sayıda tehdit aktörü CVE-2023-38831’in sömürülmesine katıldı
“APT grubu DarkCasino tarafından başlatılan saldırılar çok sık oluyor ve çevrimiçi mülkleri çalmaya yönelik güçlü bir isteği gösteriyor
Şirket, “DarkCasino, güçlü teknik ve öğrenme yeteneğine sahip, çeşitli popüler APT saldırı teknolojilerini saldırı sürecine entegre etme konusunda başarılı bir APT tehdit aktörüdür” dedi
Ağustos 2023’te Group-IB, güvenlik açığını silahlandıran gerçek dünya saldırılarını açıkladı ve DarkCasino’ya atfedilen bir Visual Basic truva atı olan DarkMe adlı son bir yükü sunmak için en azından Nisan 2023’ten bu yana çevrimiçi ticaret forumlarını hedef aldı