Yeni kəşf edilmiş Royal ransomware proqramı da daxil olmaqla, müxtəlif post- kompromis faydalı yükləri yaymaq üçün kampaniyalarından birində Google Reklamlarından istifadə edən təkmilləşmiş təhdid fəaliyyəti klasteri aşkar edilib. 2022-ci ilin oktyabr ayının sonunda yenilənmiş zərərli proqramların ötürülmə metodunu aşkar edən Microsoft, DEV-0569 adlı qrupu izləyir.
Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin yaydığı məlumat görə, Microsoft Təhlükəsizlik Təhdid Kəşfiyyatı qrupunun təhlilinə görə “Müşahidə olunan DEV-0569 hücumları, yeni aşkarlama metodlarının müntəzəm tətbiqi, müdafiədən yayınma və müxtəlif post-kompromis faydalı yükləri, artan fırıldaqçı proqram dəstəyi ilə yanaşı daimi innovasiya tendensiyası göstərir.” Məlumdur ki, fırıldaqçılar qurbanları Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams və Zoom kimi qanuni proqramlar üçün proqram quraşdırıcıları kimi təqdim edən zərərli proqram yükləmə linklərinə yönəltmək üçün zərərli reklamlardan istifadə edir. Zərərli proqram yükləyicisi, BATLOADER olaraq adlandırılan ştamm, növbəti mərhələdə faydalı yükləri paylamaq üçün kanal kimi fəaliyyət göstərən zərərli proqramdır. ZLoader adlı başqa bir zərərli proqramla üst-üstə düşdüyü müşahidə olunub.
ESentire və VMware tərəfindən BATLOADER-in son təhlili zərərli proqram təminatının gizliliyini və davamlılığını və istifadəçiləri sındırılmış veb-saytlardan və ya fırıldaqçılar tərəfindən yaradılmış domenlərdən zərərli proqram yükləməyə sövq etmək üçün axtarış sisteminin optimallaşdırılmasından (SEO) istifadə edildiyini aşkar edib. Alternativ olaraq, fişinq linkləri spam e-poçtları, saxta forum səhifələri, blog şərhləri və hətta hədəf təşkilatların veb-saytlarında mövcud olan əlaqə formaları vasitəsilə paylaşılır.
Texnologiya nəhəngi bildirdi ki, «DEV-0569 PowerShell və toplu fayllardan istifadə edərək müxtəlif zərərverici zəncirlərdən istifadə etdi, bu da nəticədə məlumat oğruları və ya şəbəkədə saxlamaq üçün istifadə olunan qanuni uzaqdan idarəetmə vasitəsi kimi zərərli proqramların yüklənməsinə səbəb oldu. «İdarəetmə aləti həm də fırıldaqçı proqramları hazırlamaq və yaymaq üçün qaynar nöqtə ola bilər.» O, həmçinin yüksək səviyyəli proqramları işə salmaq və antivirus həllərini deaktiv etmək üzrə nəzərdə tutulmuş reyestr dəyərlərini əlavə etməklə mühafizəni zəiflətmək üçün NSudo adlı alətdən istifadə edir.