Sekoia kompaniyasi Emmenhtal deb nomlangan, nisbatan yangi, zararli dasturlar yuklovchi xizmati haqida hisobot eʼlon qildi. Ushbu zararli dasturning asosiy xususiyati bu oʻz mijozlarining foydali yuklamalarini joylashtirish uchun buzilgan WebDAV serverlaridan foydalanishidir.

Emmenhtal, PeakLight nomi bilan ham tanilgan, dunyo boʻylab turli xil zararli dasturlar, masalan, info-oʻgʻrilarni tarqatadi. 2023-yil dekabridan beri paydo boʻlganidan beri u oʻzining yashirin yondashuvi tufayli kiberxavfsizlik mutaxassislari eʼtiborini jalb qilmoqda. Yuklovchi(Loader) faqat xotirada ishlaydi, bu esa uni aniqlash va tahlil qilishni qiyinlashtiradi.

Sekoia jamoasi Emmenhtalni tarqatish uchun ishlatiladigan infratuzilmani oʻrganib chiqdi va zararli fayllar WebDAV serverlarida joylashtirilganligini aniqladi. HTTP protokoli kengaytmasi boʻlgan WebDAV veb-serverlardagi fayllarni boshqarish imkonini beradi, bu esa uni qonuniy vazifalar uchun foydali qiladi. Biroq, kiberjinoyatchilar bu texnologiyani oʻz maqsadlari uchun tobora koʻproq ishlatmoqdalar. Ushbu sxema doirasida foydalanuvchilar maxsus tayyorlangan “.lnk” kabi fayllar orqali zararli dasturlar yuklanadigan WebDAV serveriga yoʻnaltiriladi.

Ayniqsa, HTML ilovalarini bajarish uchun moʻljallangan qonuniy tizim fayli “mshta.exe” dan foydalanish orqali tarqatish usuli diqqatni tortadi. Bunday ishonchli tizim fayllaridan foydalanish kiberjinoyatchilarga himoya mexanizmlarini chetlab oʻtish va oʻz harakatlarini yashirish imkonini beradi. Sekoia tomonidan tahlil qilingan infratuzimada zararli fayllar tarqatiladigan 100 dan ortiq WebDAV serveri aniqlangan.

Bundan tashqari, mutaxassislar ushbu infratuzilma orqali SelfAU3, DarkGate, Amadey va boshqalar kabi turli xil zararli dasturlar oilalari tarqatilganligini aniqladilar. Bu infratuzimaning boshqa kiberjinoyatchilar uchun xizmat sifatida taklif qilinishi mumkinligini va ularga zararli dasturlarni joylashtirish va etkazib berish uchun serverlar va vositalarni ijaraga olish imkoniyatini berishini koʻrsatadi.

Bir necha oy davomida Emmenhtal infratuzimasi WebDAV serverlarini joylashtirish uchun bir xil avtonom tizimlardan (AS) foydalangan, bu esa bu operatsiyaning markazlashtirilgan xususiyatidan dalolat beradi. Ishlatilgan ASlar orasida Terasyst Ltd, Zonata va boshqa kompaniyalar boʻlib, bu esa provayderlar bilan ishonchli kelishuvlar mavjudligini koʻrsatishi mumkin.

Sekoia xulosalariga koʻra, Emmenhtal infratuzimasi, ehtimol, kiberjinoyat guruhi tomonidan taqdim etiladigan tijoriy xizmat hisoblanadi. U turli xil zararli dasturlarni joylashtirish va tarqatish uchun infratuzima taklif etadi.