Rare Werewolf Siber Suç Grubu, Kripto Madenciliği ve Veri Hırsızlığı İçin Rus ve BDT Şirketlerini Hedef Alıyor

Kaspersky'nin araştırmasına göre, 'Librarian Ghouls' ve 'Rezet' olarak da bilinen Rare Werewolf adlı APT grubu, Mayıs ayı boyunca Rusya ve BDT ülkelerindeki şirketlere yönelik saldırılarına devam etti. Grup, kurbanları kötü niyetli ekleri açmaya ikna etmek için meşru kuruluşlardan gelmiş gibi görünen phishing e-postaları kullanıyor.

Bu eklerin çalıştırılmasıyla saldırganlar, cihazlara uzaktan erişim sağlayarak kimlik bilgileri ve kripto cüzdan bilgileri gibi hassas verileri çalıyor. Daha sonra, sistemin işlem gücünden yararlanmak için Monero (XMR) kripto madencileri dağıtıyorlar. Tespit edilmemek için, ele geçirilen makineleri saat 01:00'de otomatik olarak uyanacak ve 05:00'te kapanacak şekilde ayarlıyorlar. Bu sayede faaliyetleri fark edilmeden kalıyor.

Kaspersky, grubun ağırlıklı olarak endüstriyel kuruluşları ve özellikle mühendislik okullarını hedeflediğini belirtiyor. Phishing e-postaları Rusça yazılmış ve genellikle Rusça dosya adlarına ve sahte belgelere sahip ekler içeriyor. Bu durum, grubun birincil hedeflerinin Rusya'da veya Rusça konuşan kişiler olduğunu gösteriyor.

Kaspersky'nin araştırması ayrıca, Librarian Ghouls kampanyasıyla bağlantılı olabilecek bazı alan adlarını da ortaya çıkardı. Bu alan adları arasında, phishing sayfaları barındıran users-mail[.]ru ve deauthorization[.]online yer alıyor. Bu sayfalar, popüler Rus e-posta hizmeti Mail.ru için oturum açma kimlik bilgilerini çalmak üzere tasarlanmış PHP betikleriyle oluşturulmuş.

Kaspersky araştırmasının yayınlandığı tarihte, Librarian Ghouls APT kampanyası aktif olarak devam ediyor ve son ayda gerçekleşen saldırılar gözlemlendi.