Yakın zamanda keşfedilenler de dahil olmak üzere çeşitli uzlaşma sonrası yükleri dağıtmak için kampanyalarından birinde Google Ads’ü kullanan gelişmekte olan bir tehdit etkinliği kümesi bulundu. Kraliyet fidye yazılımı.
Güncellenen kötü amaçlı yazılım dağıtım yöntemini Ekim 2022’nin sonlarında tespit eden Microsoft, grubu şu adla izliyor: DEV-0569.
Microsoft Güvenlik Tehdit İstihbaratı ekibi, “Gözlemlenen DEV-0569 saldırıları, artan fidye yazılımı kolaylaştırmasının yanı sıra yeni keşif tekniklerinin, savunmadan kaçınmanın ve çeşitli uzlaşma sonrası yüklerin düzenli olarak dahil edilmesiyle sürekli bir yenilik modeli gösteriyor” dedi. söz konusu bir analizde.
Tehdit aktörünün, şüphelenmeyen kurbanları Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams ve Zoom gibi meşru uygulamalar için yazılım yükleyicileri gibi görünen kötü amaçlı yazılım indirme bağlantılarına yönlendirmek için kötü amaçlı reklamcılıktan yararlandığı biliniyor.
BATLOADER olarak adlandırılan bir tür olan kötü amaçlı yazılım indirici, sonraki aşama yüklerini dağıtmak için bir kanal işlevi gören bir damlalıktır. ZLoader adlı başka bir kötü amaçlı yazılımla çakışmaları paylaştığı gözlemlendi.
BATLOADER’ın yakın tarihli bir analizi eSentire ve VMware kullanıcıları güvenliği ihlal edilmiş web sitelerinden veya saldırgan tarafından oluşturulan alanlardan kötü amaçlı yazılımı indirmeye çekmek için arama motoru optimizasyonu (SEO) zehirlenmesi kullanımına ek olarak, kötü amaçlı yazılımın gizliliğini ve kalıcılığını vurguladı.
Alternatif olarak, kimlik avı bağlantıları spam e-postalar, sahte forum sayfaları, blog yorumları ve hatta hedeflenen kuruluşların web sitelerinde bulunan iletişim formları aracılığıyla paylaşılır.
Teknoloji devi, “DEV-0569, PowerShell ve toplu betikleri kullanarak çeşitli bulaşma zincirleri kullandı ve bu da sonuçta bilgi hırsızları gibi kötü amaçlı yazılım yüklerinin indirilmesine veya ağda kalıcılık için kullanılan meşru bir uzaktan yönetim aracına yol açtı” dedi.
“Yönetim aracı, fidye yazılımlarının hazırlanması ve yayılması için bir erişim noktası da olabilir.”
Ayrıca, yükseltilmiş ayrıcalıklara sahip programları başlatmak ve antivirüs çözümlerini devre dışı bırakmak için tasarlanmış kayıt defteri değerleri ekleyerek savunmaları zayıflatmak için NSudo olarak bilinen bir araç da kullanılır.
Şirket, BATLOADER’ı sunmak için Google Ads’in kullanılmasının, DEV-0569’un dağıtım vektörlerinin çeşitlendirilmesine işaret ederek, daha fazla hedefe ulaşmasını ve kötü amaçlı yazılım yüklerini dağıtmasını sağladığını belirtti.
Emotet, IcedID, Qakbot gibi kötü amaçlı yazılımlara katılarak grubu diğer fidye yazılımı operasyonları için ilk erişim aracısı olarak hizmet edecek şekilde konumlandırır.
Microsoft, “DEV-0569’un kimlik avı düzeni yasal hizmetleri kötüye kullandığından, kuruluşlar ayrıca şüpheli anahtar kelimeleri yakalamak veya IP aralıkları ve etki alanı düzeyinde izin verilen listeler gibi geniş istisnaları incelemek için posta akışı kurallarından yararlanabilir.”