Abonelik tabanlı bir hizmet olarak suç yazılımı (Caas) çözümü ile Cobalt Strike’ın crackli bir kopyası arasındaki potansiyel bağlantılar, araştırmacıların müşterilerinin sömürü sonrası faaliyetleri gerçekleştirmeleri için bir araç olarak sunulduğundan şüpheleniyor.
Hizmet olarak adlandırılan Prometheus, ilk olarak Ağustos 2021’de siber güvenlik şirketi Group-IB’nin siber suçlu grupları tarafından Campo Loader, Hancitor, IcedID, QBot, Buer Loader ve SocGholish’i Belçika’da dağıtmak için gerçekleştirilen kötü amaçlı yazılım dağıtım kampanyalarının ayrıntılarını açıklamasıyla ortaya çıktı. ve ABD
Ayda 250 dolara mal olan bu sistem, hedeflenen sistemlerde kötü amaçlı yazılım yüklerini dağıtmak için tasarlanmış sahte açılış sayfalarına toplu ölçekte kimlik avı yönlendirmesini sağlamak için bir trafik yönlendirme sistemi (TDS) olarak Rus yer altı forumlarında pazarlanıyor.
BlackBerry Araştırma ve İstihbarat Ekibi, “Prometheus, tehdit gruplarının kötü amaçlı yazılımlarını veya kimlik avı işlemlerini kolaylıkla bulmasına olanak tanıyan eksiksiz bir hizmet/platform olarak kabul edilebilir.” söz konusu The Hacker News ile paylaşılan bir raporda. “Prometheus’un ana bileşenleri arasında kötü amaçlı bir altyapı ağı, kötü niyetli e-posta dağıtımı, yasal hizmetler aracılığıyla yasadışı dosya barındırma, trafik yönlendirme ve kötü amaçlı dosyaları teslim etme yeteneği yer alıyor.”
Tipik olarak, yeniden yönlendirme, meşru web sitelerindeki kötü amaçlı reklamların (diğer bir deyişle kötü amaçlı reklamcılık) yardımıyla veya kötü amaçlı kod eklemek üzere kurcalanmış web siteleri aracılığıyla iki ana kaynaktan birinden yönlendirilir.
Prometheus örneğinde, saldırı zinciri bir HTML dosyası veya bir Google Dokümanlar sayfası içeren bir spam e-posta ile başlar; bu e-posta, etkileşim üzerine kurbanı, “to” olup olmadığını belirlemek için makinenin parmak izini alan bir PHP arka kapısı barındıran güvenliği ihlal edilmiş bir web sitesine yönlendirir. kurbana kötü amaçlı yazılım sunun veya onları kimlik avı dolandırıcılığı içerebilecek başka bir sayfaya yönlendirin.”
Bilgisayar korsanlığı forumlarında “Ma1n” adıyla anılan hizmet operatörleriyle bağlantılı en erken faaliyetin, Ekim 2018’de başladığı söyleniyor ve yazar, yüksek kaliteli yönlendirmeler sunan diğer yasa dışı araçlarla bağlantılı ve şirketlere postalama için PowerMTA kitleri. 22 Eylül 2020’de Prometheus TDS’yi satışa çıkarmadan önce posta kutuları.
Hepsi bu değil. BlackBerry ayrıca Prometheus ile ilgili faaliyetler ile Cobalt Strike düşman simülasyonu ve tehdit öykünme yazılımının gayri meşru bir versiyonu arasında örtüşmeler buldu ve bu da kopyanın “Prometheus operatörleri tarafından çoğaltılma” olasılığını artırdı.
Araştırmacılar, “Prometheus TDS ile bağlantılı birinin bu kırık kopyayı sürdürmesi ve satın alındığında sağlaması mümkündür.” Dedi. “Bu crackli kurulumun standart bir playbook veya sanal makine (VM) kurulumunun bir parçası olarak sağlanması da mümkündür.”
DarkCrystal RAT, FickerStealer, FIN7, Qakbot ve IceID dahil olmak üzere bir dizi tehdit aktörünün yanı sıra REvil, Ryuk (Wizard Spider), BlackMatter ve Cerber gibi fidye yazılımı kartellerinin crack’i kullandığı gerçeği bu gerçeği doğrulamaktadır. son iki yıl içinde söz konusu kopya.
Bunun da ötesinde, aynı Cobalt Strike Beacon, hizmetleri StrongPity, MountLocker ve Phobos gibi gruplar tarafından kendi kampanyaları için kullanılan Zebra2104 olarak izlenen bir ilk erişim komisyoncusu ile ilişkili etkinliklerle bağlantılı olarak da gözlemlendi.
Araştırmacılar, “TDS’ler yeni bir kavram olmasa da, karmaşıklık düzeyi, destek ve düşük finansal maliyet, bunun tehdit ortamının yakın gelecekte artması muhtemel bir eğilim olduğu teorisine güvenilirlik katıyor” dedi.
“Prometheus TDS gibi teklifleri kullanan grupların hacmi, özünde büyüklükleri, seviyeleri ne olursa olsun grupların kötü niyetli faaliyetlerini destekleyen tam teşekküllü işletmeler olan bu yasadışı kiralama hizmetleri altyapısının başarısı ve etkinliği hakkında konuşuyor. kaynak veya güdüler.”
.
siber-2