Een relatief nieuwe bedreigingsacteur bekend als Yoro Trooper is waarschijnlijk gemaakt van operators afkomstig uit Kazachstan.
De beoordeling, die afkomstig is van Cisco Talos, is gebaseerd op hun vloeiende kennis van het Kazachs en Russisch, het gebruik van Tenge om te betalen voor de operationele infrastructuur en de zeer beperkte targeting van Kazachstaanse entiteiten, met uitzondering van de Anti-Corruption Agency van de overheid.
“YoroTrooper probeert de oorsprong van hun activiteiten te verdoezelen, door gebruik te maken van verschillende tactieken om de kwaadaardige activiteit uit Azerbeidzjan te laten lijken, zoals het gebruik van VPN-uitgangsknooppunten die lokaal in die regio voorkomen”, aldus beveiligingsonderzoekers Asheer Malhotra en Vitor Ventura.
Voor het eerst gedocumenteerd door het cyberbeveiligingsbedrijf in maart 2023, is het bekend dat de tegenstander al sinds juni 2022 actief is, waarbij verschillende staatsentiteiten in de landen van het Gemenebest van Onafhankelijke Staten (GOS) worden genoemd. Het Slowaakse cyberbeveiligingsbedrijf ESET volgt de activiteit onder de naam SturgeonPhisher.
De aanvalscycli van YoroTrooper zijn voornamelijk afhankelijk van spear-phishing om een mengeling van gewone en open source stealer-malware te verspreiden, hoewel ook is waargenomen dat de groep de initiële toegangsvector gebruikt om slachtoffers naar door de aanvaller gecontroleerde sites voor het verzamelen van inloggegevens te leiden.
“De praktijk van het verzamelen van inloggegevens is een aanvulling op de op malware gebaseerde activiteiten van YoroTrooper, met als einddoel gegevensdiefstal”, aldus de onderzoekers.
Publieke bekendmaking van de campagnes van de bedreigingsacteur heeft geleid tot een tactische vernieuwing van zijn arsenaal, waarbij de focus ligt op standaardmalware naar aangepaste tools die zijn geprogrammeerd in Python, PowerShell, Golang en Rust.
De sterke banden van de acteur met Kazachstan vloeien voort uit het feit dat het land regelmatig beveiligingsscans uitvoert van de e-maildienst van de staat,[.]kz, wat wijst op voortdurende inspanningen om de website te controleren op mogelijke beveiligingsproblemen.
Het controleert ook periodiek de wisselkoersen tussen Tenge en Bitcoin op Google (“btc naar kzt”) en gebruikt alfachange[.]com om Tenge naar Bitcoin om te zetten en te betalen voor het onderhoud van de infrastructuur.
Vanaf juni 2023 gaat YoroTrooper’s targeting op GOS-landen gepaard met een grotere focus op op maat gemaakte implantaten, terwijl tegelijkertijd kwetsbaarheidsscanners zoals Acunetix en open-sourcegegevens van zoekmachines zoals Shodan worden gebruikt om slachtoffernetwerken te lokaliseren en te infiltreren.
Tot de doelwitten behoorden onder meer de Kamer van Koophandel van Tadzjikistan, het Drugscontrolebureau, het Ministerie van Buitenlandse Zaken, het Kirgizische Kirgizische Komur en het Ministerie van Energie van de Republiek Oezbekistan.
Een ander opmerkelijk aspect is het gebruik van e-mailaccounts om tools en diensten te registreren en aan te schaffen, waaronder een NordVPN-abonnement en een VPS-instantie van netx[.]hosting voor $ 16 per maand.
Een belangrijke update van de infectieketen omvat het porten van de op Python gebaseerde trojan voor externe toegang (RAT) naar PowerShell en het gebruik van een op maat gemaakte interactieve reverse shell om opdrachten uit te voeren op geïnfecteerde eindpunten via cmd.exe. De PowerShell RAT is ontworpen om inkomende opdrachten te accepteren en gegevens via Telegram te exfiltreren.
Naast het experimenteren met meerdere soorten bestelwagens voor hun achterdeur, zou YoroTrooper vanaf september 2023 op Golang en Rust gebaseerde malware hebben toegevoegd, waardoor het een omgekeerde schil kon opzetten en gevoelige gegevens kon verzamelen.
“Hun op Golang gebaseerde implantaten zijn poorten van de op Python gebaseerde RAT die Telegram-kanalen gebruikt voor bestandsexfiltratie en C2-communicatie”, legden de onderzoekers uit.
