Sektörden Haberler

Avrupa ve Latin Amerika'da DTrack Etkisi

15 Kasım 2022

DTrack, İlk olarak 2019'da Lazarus grubu tarafından geliştirilmiş ve kullanılmış bir Uzak Erişim Aracı (RAT) olup, kurbanın bilgisayarına dosya yükleme, kurbanın bilgisayarından dosya indirme, diskteki verilerini boşaltma, kalıcılık ve daha fazlasını içeren işlevlere sahiptir. İlk olarak finansal çevreleri etkileyen ATM’lere ve nükleer santrallere saldırılar gerçekleştirilmiş olup, bu saldırılarda Lazarus grubunun bir miktar mali kazanç elde etmiş olduğuna inanılmaktadır.

Standart DTrack araç setinde bir keylogger, bir ekran görüntüsü alma aracı ve hedef sistem bilgilerini toplamak için bir modül bulunmaktadır. Saldırganlar bunun gibi bir araç seti ile hedef sistemlerdeki kritik bilgileri almak için kurbanların altyapısında yatay (doğu-batı) hareket uygulayabilmektedir.

DTrack zaman içinde çok değişime uğramamış olmasına rağmen, bazı küçük geliştirmeler meydana gelmiştir. Dtrack, meşru bir program gibi görünen çalıştırılabilir (executable) bir dosyanın içinde kendini gizler ve legal bir yazılım gibi görünür, kötü amaçlı yazılım birkaç aşamadan sonra ortaya çıkmakta ve hedeflenen saldırgan etkisini göstermeye başlamaktadır.

Altyapı

Komuta&Kontrol sunucuları için kullanılan alan adlarına baktığımızda farklı durumlarda dahi örnek bir model görülebilmektedir. Örneğin, aktörler bir rengi bir hayvanın adıyla birleştirebilirler (örn. pembekeçi, morayı, vb). DTrack altyapısında kullanılan bazı özel adlar aşağıda bulunabilir:

Domain

IP

First seen

ASN

pinkgoat.com

64.190.63.111

2022‑03‑03 15:34

AS47846

purewatertokyo.com

58.158.177.102

2022‑05‑20 16:07

AS17506

purplebear.com

52.128.23.153

2021‑01‑08 08:37

AS19324

salmonrabbit.com

58.158.177.102

2022‑05‑20 09:37

AS17506

 

Kurbanlar

KSN yayınlarına göre aralarında Türkiye’nin de bulunduğu, Almanya, Brezilya, Hindistan, İtalya, Meksika, İsviçre, Suudi Arabistan ve Amerika Birleşik Devletleri gibi birçok ülkede DTrack etkinliği tespit edilmiş olup, bu da DTrack'in dünyanın daha fazla bölgesine yayıldığını göstermektedir. Hedeflenen sektörler eğitim, kimyasal üretim, devlet araştırma merkezleri ve politika enstitüleri, BT hizmet sağlayıcıları, kamu hizmeti sağlayıcıları ve telekomünikasyon firmalarını içeren sektörlerdir.

Sonuç

DTrack, Lazarus grubu tarafından aktif olarak kullanılmaya devam edilmektedir. Kötü amaçlı yazılımın paket yapısındaki değişiklikler, Lazarus'un DTrack'i hâlâ önemli bir varlık olarak gördüğünü göstermektedir. Mağduriyetler analiz edildiğinde, operasyonların Avrupa ve Latin Amerika'ya yayıldığı açıkça görülmektedir. Durum değerlendirmesi yapıldığında, benzer vakaların giderek daha sık görüleceği beklenmektedir.

 

 

Kaynak: https://securelist.com/dtrack-targeting-europe-latin-america/107798/