Golden Chickens nudi TerraStealerV2 i TerraLogger

AUTOR ·

Sigurnosni istraživači Insikt Group upozoravaju na dva nova soja zlonamjernog softvera koje je izbacila grupa zlonamjernih aktera Golden Chickens. TerraStealerV2 i TerraLogger su dizajnirani da ukradu podatke za prijavu iz internet pregledača, detalje iz proširenja internet pregledača, podatke o novčaniku kriptovaluta i prate korisnički unos podataka. Stručnjaci upozoravaju da su ovi podmukli alati su već počeli da ostvaruju značajan uticaj na sceni sajber kriminala, ostavljajući trag kompromitovanih sistema za sobom.

Golden Chickens, TerraStealerV2 and TerraLogger

Golden Chickens nudi TerraStealerV2 i TerraLogger; Source: Bing Image Creator

NOVI ZLONAMJERNI ALATI

Finansijski motivisana grupa zlonamjernih aktera Golden Chickens je uvela dva nova zlonamjerna alata, TerraStealerV2 i TerraLogger u svoj arsenal dostupnih alata, što je označilo ozbiljnu eskalaciju u operacijama krađe akreditiva i osjetljivih podataka početkom 2025. godine. Ova dešavanja, signaliziraju buduće inovacije ove grupe u njihovom poslovanju po modelu zlonamjerni softver kao usluga (eng. malware-as-a-Service – MaaS), koju su istorijski koristili ozloglašeni sindikati kao što su FIN6, Cobalt Group i Evilnum.

Uvođenje TerraStealerV2 i TerraLogger zlonamjernih alata predstavlja značajan pomak u taktici Golden Chickens zlonamjernih aktera, demonstrirajući njihovu posvećenost da ostanu ispred mjera sajber bezbjednosti. Ovi alati su dizajnirani da preuzimaju podatke za prijavu internet pregledača, detalje iz proširenja internet pregledača, podatke o novčaniku kriptovaluta i prate korisnički unos podataka, što ih čini posebno efikasnim protiv ciljeva visoke vrijednosti. Činjenica da je ove zlonamjerne alate razvila grupa sa reputacijom sofisticiranosti je razlog za zabrinutost među profesionalcima za sajber bezbjednost za bezbjednost korisnika i organizacija.

 

TerraStealerV2

TerraStealerV2 je pomno dizajniran zlonamjerni softver za preuzimanje podatka za prijavu internet pregledača, detalja iz proširenja internet pregledača i podatka o novčaniku kriptovaluta. Ova sofisticirana alatka se usmjerava na Chrome SQLite bazu podataka “Login Data”, omogućavajući lako direktno preuzimanje podataka. Međutim, ono što je upadljivo kod TerraStealerV2 je njegova nemogućnost da zaobiđe Chrome šifrovanje vezano za aplikacije (eng. application bound encryption – ABE) uvedeno u julu 2024. godine. Ovo ukazuje da je zlonamjerni softver možda nekompletan ili da zaostaje za trenutnim bezbjednosnim tehnologijama internet pregledača.

Vektori distribucije za TerraStealerV2 su izuzetno raznoliki, obuhvatajući Windows prečice (LNK), instalacione pakete (MSI), biblioteke sa dinamičkim linkovima (DLL) i izvršne datoteke (EXE). Izvršenje se u velikoj mjeri oslanja na pouzdane Windows uslužne programe kao što su regsvr32.exe i mshta.exe, potez koji pomaže u izbjegavanju konvencionalnih softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR). Kada se izvrši, zlonamjerni softver sprovodi provjere kako bi otežao analizu, koristi XOR demaskiranje niza, prikuplja sistemske i korisničke informacije i pokušava da prekine aktivne Chrome procese da bi otključao datoteke sa podacima za prijavu. Nakon što prikupi digitalni plijen – podatke za prijavu, podatke dodataka internet pregledača i direktorijume kripto novčanika – TerraStealerV2 arhivira podatke u arhivu radi preuzimanja.

Ova arhiva se šalje i na Telegram kanal zlonamjernog aktera i na infrastrukturu wetransfers[.]io, gdje je zlonamjerni akteri preuzimaju. Treba napomenuti da zlonamjerni softver signalizira svako uspješno ugrožavanje, prenoseći identifikatore uređaja i broj otkrivenih novčanika. Ovaj nivo sofisticiranosti u TerraStealerV2 naglašava evoluirajuću prirodu sajber prijetnji i naglašava potrebu za snažnim bezbjednosnim mjerama za zaštitu od takvih napada.

 

TerraLogger

TerraLogger je relativno novi alat u arsenalu zlonamjerne grupe Golden Chickens, dizajniran za hvatanje svih pritisaka na tastaturi i njihovo čuvanje u datotekama na disku. Ovaj alat koristi standardni Windows presretač tastature na niskom nivou (SetWindowsHookExA sa parametrom WH_KEYBOARD_LL) kako bi presreo korisnički unos u realnom vremenu.

Ovaj zlonamjerni alat snima prikupljene podatke u različite vrste datoteka, uključujući .txt datoteke, kao što su “a.txt”, “op.txt” ili “save.txt”. Iako ova funkcionalnost djeluje jednostavno, ključno je razumjeti njene implikacije i način na koji zlonamjerni akteri mogu da je iskoriste.

Evidentiranje pritisaka na taster je glavna komponenta sajber prijetnji decenijama. Zlonamjerni akteri već dugo koriste ranjivost korisnika koji ponovo koriste lozinke na više platformi ili ne primjenjuju robusne mjere bezbjednosti. TerraLogger predstavlja evoluciju u ovoj taktici, jer je posebno dizajniran da uhvati osjetljive informacije bez oslanjanja na ugrađene mehanizme eksfiltracije. Ovo sugeriše da Golden Chickens možda eksperimentiše sa modularnim komponentama ili ranim fazama razvoja za svoj komplet alata.

 

GOLDEN CHICKENS

Golden Chickens (poznata još kao Venom Spider) je finansijski motivisana grupa zlonamjernih aktera koja skreće pažnju sigurnosnih stručnjaka na sebe zbog svog sofisticiranog paketa zlonamjernog softvera i široko rasprostranjene upotrebe od strane vrhunskih grupa za sajber kriminal, kao što su FIN6, Cobalt Group i Evilnum. Ova grupa zlonamjernih aktera radi od najmanje 2018. godine, a njihov poslovni model zlonamjerni softver kao usluga (MaaS) omogućava im da kontinuirano ažuriraju i poboljšavaju svoje alate.

Jedan od najznačajnijih aspekata poslovanja Golden Chickens grupe zlonamjernih aktera je njena sposobnost da cilja na organizacije visoke vrijednosti kroz vektore socijalnog inženjeringa. Kampanje spear phishing napada koje koriste lažne ponude za posao ili biografije bile su posebno efikasne u prevari zaposlenih da preuzmu zlonamjerne datoteke, kao što je VenomLNK. Ovaj početni vektor infekcije služi kao kapija za TerraLoader, modul za učitavanje odgovoran za primjenu dodatnih Golden Chickens komponenti zlonamjernog softvera.

U svojoj osnovi, Golden Chickens paket zlonamjernog softver kao usluga (MaaS) se sastoji od dva primarna modula: VenomLNK i TerraLoader. Ovi alati su dizajnirani da rade u tandemu, pri čemu VenomLNK služi kao početni vektor infekcije koji izvršava TerraLoader nakon izvršenja. Ovaj modul za učitavanje je odgovoran za primjenu dodatnih komponenti zlonamjernog softvera, uključujući:

  • TerraStealer: Alat za prikupljanje podatka za prijavu koji se koristi za prikupljanje osjetljivih informacija od žrtava;
  • TerraTV: TeamViewer modul za otmicu dizajniran da preuzme kontrolu nad uređajima žrtava i krade vrijedne podatke;
  • TerraCrypt: Alat za primjenu ucjenjivačkog softvera (eng. ransomware) koji šifruje datoteke i zahteva plaćanje u zamjenu za ključ za dešifrovanje;
  • TerraRecon: Alat za izviđanje koji se koristi za prikupljanje informacija o sistemima žrtava;
  • TerraWiper: Modul za brisanje podataka dizajniran da izbriše osjetljive datoteke sa kompromitovanih mašina.

Široko rasprostranjena upotreba paketa zlonamjernog softvera Golden Chickens grupe zlonamjernih aktera dovela je do značajnih finansijskih gubitaka i štete po reputaciju pogođenih organizacija. Sposobnost grupe da se prilagodi i razvije svoje alate, u kombinaciji sa njenom širokom mrežom grupa za sajber kriminal, čini je opasnom prijetnjom u današnjem okruženju sajber bezbjednosti.

 

UTICAJ

Kao što se iz svega navedenog vidi, izdavanje dva nova soja zlonamjernog softvera TerraStealerV2 i TerraLogger pripisano je se ozloglašenoj zlonamjernoj grupi Golden Chickens, poznatoj po iznajmljivanju zlonamjernog softvera nekim od najozloglašenijih zlonamjernih grupa na svetu.

Uticaji ovih novih alata su dalekosežni i potencijalno razorni za pojedince koji nisu preduzeli adekvatne mjere za zaštitu na internetu. Sa TerraStealerV2, zlonamjerni akteri sada mogu lako da dobiju pristup osjetljivim podacima poput podata za prijavu, brojeva kreditnih kartica, pa čak i kripto novčanika. To bi moglo dovesti do porasta krađe identiteta, finansijskih gubitaka i drugih oblika digitalne eksploatacije.

Pored toga, činjenica da Golden Chickens razvija softver za praćenje korisničkog unosa TerraLogger kao modul ukazuje na njihovu namjeru da prošire svoje mogućnosti izvan puke krađe podataka za prijavu. Mogućnost snimanja svakog pritiska na tastaturu na inficiranom uređaju otvara nove puteve za zlonamjerne aktere u eksploataciji osjetljivih informacija, kao što su lozinke, enkripcijski ključevi i drugi povjerljivi podaci.

Rane faze razvoja koje su prikazali TerraStealerV2 i TerraLogger zlonamjernim alatima sugerišu da Golden Chickens još uvijek usavršavaju ove alate. Međutim, to ne umanjuje prijetnju koju predstavljaju. Naprotiv, naglašava potrebu da organizacije preduzmu proaktivne mjere zaštite kako bi umanjile rizik od budućih napada, dok ova porodica zlonamjernog softvera nastavlja da se razvija. Nedostatak podrške za dešifrovanje Chrome šifrovanja vezanog za aplikacije (ABE) u TerraStealerV2 može ukazivati na to da je alatka zastarela ili još uvijek u razvoju, ali njene trenutne mogućnosti su već razlog za zabrinutost.

 

ZAKLJUČAK

Analiza TerraStealerV2 i TerraLogger otkriva visoko sofisticirane zlonamjerne alate dizajnirane od strane grupe Golden Chickens, ozloglašene po razvoju naprednih zlonamjernih softvera. Tehnička evolucija ovih alata oslikava njihovu istrajnost i umijeće u kombinovanju tehničke sofisticiranosti sa lukavim dizajnom, što privlači pažnju stručnjaka za sajber bezbjednost širom sveta.

Razvoj ovih zlonamjernih softvera karakteriše ciklus strateških ažuriranja, pri čemu svaka nova verzija unapređuje funkcionalnost alata u skladu sa njihovom zlonamjernom svrhom. To pokazuje nepokolebljivu posvećenost grupe Golden Chickens ka finom podešavanju svojih zlonamjernih softverskih rješenja za maksimalnu efikasnost. Kao rezultat toga, ovi alati su sposobni da preuzimaju podatke za prijavu iz internet pregledača, izvuku informacije iz proširenja internet pregledača, prikupe podatke o kripto novčanicima, kontinuirano nadgledaju korisnički unos podatka preko tastature.

Posmatrajući ove nove prijetnje, postaje jasno da je platforma zlonamjernog softvera kao usluge (MaaS) koju razvija Golden Chickens entitet u neprekidnom razvoju, vođena inovacijom i prilagodljivošću. Ovo dinamično okruženje zahtijeva budnu pažnju i stalnu prilagodbu od strane stručnjaka za sajber bezbjednost, čiji je zadatak da zaštite korisnike i organizacije od ovih prijetnji.

Kako se pejzaž sajber prijetnji neprestano mijenja, od suštinske je važnosti ostati na oprezu i proaktivno reagovati na evoluciju napadačkih taktika. Upravo takva posvećenost preventivnim mjerama omogućava korisnicima i organizacijama da ostanu korak ispred novih prijetnji, poput TerraStealerV2 i TerraLogger zlonamjernih alata.

 

ZAŠTITA

Da bi se efikasno ublažili rizici povezani sa TerraStealerV2 i TerraLogger zlonamjernim alatima i zlonamjernima akterima Golden Chickens, neophodan je višestruki pristup. Sljedeće preporuke su dizajnirane da pomognu u zaštiti od ovih porodica zlonamjernog softvera:

  1. Organizacije treba da obezbijede da zaposleni razumiju važnost korišćenja jakih, jedinstvenih lozinki za sve naloge. Ovo se može postići redovnim obukama i kampanjama podizanja svesti. Pored toga, implementacija menadžera lozinki može pomoći u smanjenju rizika od krađe kompromitovanih podatka za prijavu od strane TerraStealerV2 ili drugog zlonamjernog softvera;
  2. Redovno ažuriranje operativnih sistema, internet pregledača i aplikacija je ključno za sprečavanje eksploatacije od strane porodica zlonamjernog softvera Golden Chickens. Uvjeriti se da svi uređaji rade sa najnovijim bezbjednosnim ispravkama kako bi se spriječilo iskorišćavanje ranjivosti;
  3. Primjena renomiranih antivirusnih softvera može pomoći u otkrivanju i uklanjanju TerraStealerV2, TerraLogger ili drugog zlonamjernog softvera prije nego što prouzrokuje značajnu štetu. Redovno ažurirati ove alate kako bi se osiguralo da ostaju efikasni protiv novih prijetnji;
  4. Izvršiti temeljne bezbjednosne procjene svih sistema, mreža i aplikacija da bi se identifikovale potencijalne ranjivosti koje bi mogle da iskoriste porodice zlonamjernog softvera Golden Chickens. Ovo će pomoći organizacijama da daju prioritet naporima za sanaciju i ojačaju svoj ukupni položaj sajber bezbjednosti;
  5. Vršiti periodične testove penetracije na svim sistemima, mrežama i aplikacijama da bi se identifikovale potencijalne ranjivosti koje bi mogao da iskoristi TerraStealerV2 ili drugi zlonamjerni softver. Iskoristiti nalaze iz ovih vježbi da bi se dao prioritet naporima za sanaciju i ojačao ukupni položaj sajber bezbjednosti;
  6. Razvijati plan odgovora na sajber prijetnju koji opisuje procedure za reagovanje na bezbjednosne incidente uzrokovane porodicama zlonamjernog softvera Golden Chickens ili drugim zlonamjernim akterima. Redovno testirati ovaj plan kako bi se osiguralo da ostaje efikasan u suočavanju sa novim prijetnjama;
  7. Obrazovati zaposlene o tome kako da identifikuju i prijave sumnjive aktivnosti, kao što su phishing elektronske poruke ili neobično ponašanje sistema koje bi moglo da ukazuje na TerraStealerV2, TerraLogger ili druge infekcije zlonamjernim softverom. Ovo će pomoći u sprečavanju insajderskih napada i smanjiti rizik od krađe kompromitovanih podataka za prijavu od strane porodice zlonamjernog softvera Golden Chickens;
  8. Razvijati smjernice za bezbjedan rad na daljinu kako bi se smanjili rizici povezani sa korišćenjem javnih Wi-Fi mreža, koje TerraStealerV2 ili drugi zlonamjerni softver može da iskoristi. Uvjeriti se da svi zaposleni razumiju ove smjernice i da ih se pridržavaju kada rade van prostorija organizacije;
  9. Redovno pregledati i ažurirati liste kontrole pristupa (eng. access control lists – ACL) kako bi se osiguralo da ostaju efikasne protiv novih prijetnji koje predstavljaju porodice zlonamjernog softvera Golden Chickens ili drugi zlonamjerni akteri. Ovo će pomoći u sprečavanju neovlaštenog pristupa osjetljivim podacima ili sistemima;
  10. Implementirajte robustan sistem za upravljanje informacijama o bezbjednosti i događajima (eng. security information and event management system – SIEM), jer može da obezbijedi praćenje svih mrežnih aktivnosti u realnom vremenu, pomažući u identifikaciji potencijalnih bezbjednosnih incidenata izazvanih TerraStealerV2 ili drugim infekcijama zlonamjernim softverom. Redovno pregledati evidencije koje generiše ovaj alat kako bi se osiguralo da ostaje efikasan u otkrivanju novih prijetnji;
  11. Podijeliti svoju mrežu na manje segmente na osnovu poslovnih zahteva, osiguravajući da svaki segment ima svoj skup kontrola pristupa i bezbjednosnih politika. Ovo će ograničiti širenje zlonamjernog softvera unutar organizacije u slučaju infekcije;
  12. Razvijati strategiju bezbjednog pravljenja rezervnih kopija koja uključuje redovne rezervne kopije kritičnih podataka u slučaju da dođe do infekcije TerraStealerV2, TerraLogger ili drugim zlonamjernim softverom. Koristiti renomirani softver za pravljenje rezervnih kopija da bi se kreirale kopije kritičnih datoteka, podešavanja i operativnih sistema na spoljnim medijima kao što su USB diskovi, mrežni uređaji za skladištenje podataka (eng. network-attached storage – NAS) ili pouzdane usluge za skladištenje u oblaku.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.