Daha önce bilinmeyen bir tehdit aktörü, gizli bilgileri çalmak için tasarlanmış ısmarlama kötü amaçlı yazılımlarla ABD ve Almanya’daki şirketleri hedefliyor.
Etkinlik kümesini adı altında takip eden kurumsal güvenlik şirketi Proofpoint Ekran ZAMANIdedi grup, TA866muhtemelen finansal olarak motive edilmiştir.
Şirket, “TA866, özel araçların mevcudiyetine, diğer satıcılardan araç ve hizmet satın alma becerisine ve bağlantılarına ve artan etkinlik hacimlerine bağlı olarak ölçekte iyi düşünülmüş saldırılar gerçekleştirebilen organize bir aktördür” dedi. değerlendirildi.
Düşman tarafından başlatılan kampanyaların, bubi tuzaklı bir ek veya kötü amaçlı yazılıma yol açan URL içeren e-postalar aracılığıyla başlatılan saldırılarla 3 Ekim 2022 civarında başladığı söyleniyor. Ekler, makro bağlantılı Microsoft Publisher dosyalarından URL’leri JavaScript dosyalarına işaret eden PDF’lere kadar uzanır.
İzinsiz girişler, alıcıları çok adımlı bir saldırı zinciri başlatan, görünüşte zararsız görünen URL’leri tıklamaya ikna etmek için konuşma kaçırmayı da kullandı.
Kullanılan yöntemden bağımsız olarak, indirilen JavaScript dosyasının çalıştırılması, uzaktaki bir sunucudan sonraki aşama kötü amaçlı yazılımları getirmek için bir araç işlevi gören WasabiSeed adlı bir VBScript’i açan bir MSI yükleyicisine yol açar.
WasabiSeed tarafından indirilen yüklerden biri, kurbanın masaüstünün ekran görüntülerini periyodik olarak almakla ve bu bilgileri bir komut ve kontrol (C2) sunucusuna geri iletmekle görevli bir yardımcı program olan Screenshotter’dır.
Proofpoint araştırmacısı Axel F, “Bu, keşif ve kurban profili oluşturma aşamasında tehdit aktörüne yardımcı oluyor” dedi.
Başarılı bir keşif aşamasını, sömürü sonrası için daha fazla kötü amaçlı yazılımın dağıtılması takip eder; seçili saldırılar, AutoHotKey (AHK) tabanlı bir bot kullanarak adlı bir bilgi hırsızını düşürür. Rhadamanthys.
Proofpoint, kampanyada kullanılan URL’lerin 404 TDS adlı bir trafik yönlendirme sistemi (TDS) içerdiğini ve saldırganın yalnızca kurbanların coğrafya, tarayıcı uygulaması ve işletim sistemi gibi belirli bir dizi kriteri karşıladığı senaryolarda kötü amaçlı yazılım sunmasını sağladığını söyledi.
TA866’nın kökenleri henüz belirsizliğini koruyor, ancak 2020 varyantı Kanada ve ABD bankalarına yönelik saldırılarda kullanılan AHK Bot’un kaynak kodunda Rusça değişken adları ve yorumları tanımlanmış olsa da. Kötü amaçlı yazılımın da kullanıma sunulduğundan şüpheleniliyor kadar geri Nisan 2019.
Proofpoint, “Ek yükler dağıtmadan önce güvenliği ihlal edilmiş bir ana bilgisayar hakkında bilgi toplamak için Screenshotter’ın kullanılması, tehdit aktörünün yüksek değerli hedefleri belirlemek için virüsleri manuel olarak incelediğini gösterir” dedi.
“Bir uzlaşmanın başarılı olması için, bir kullanıcının kötü amaçlı bir bağlantıya tıklaması ve başarılı bir şekilde filtrelenirse, ek yükleri indirmek ve çalıştırmak için bir JavaScript dosyasıyla etkileşime girmesi gerektiğini not etmek önemlidir.”
Bulgular, tehdit aktörlerindeki ani artışın ortasında geldi denemek dışarı yeni yollar Microsoft, internetten indirilen Office dosyalarındaki makroları varsayılan olarak engelledikten sonra hedeflerin cihazlarında kod yürütmek için.
Bu, yükleri uzak masaüstü uygulamaları ve çevrimiçi toplantı platformları gibi popüler yazılımlar olarak paketleyerek kötü amaçlı yazılım dağıtmak için arama motoru optimizasyonu (SEO) zehirlenmesi, kötü amaçlı reklamcılık ve marka sahtekarlığının kullanımını içerir.
Ayrıca, SentinelOne tarafından belgelenen yeni bir kampanyaya göre, Google arama sonuçlarındaki hileli reklamlar, şüphelenmeyen kullanıcıları Amazon Web Services (AWS) girişlerini çalmak için tasarlanmış sahte kimlik bilgilerine dayalı kimlik avı web sitelerine yönlendirmek için kullanılıyor.
Siber güvenlik şirketi, “AWS kimlik avı web sitelerine yol açan kötü amaçlı Google Reklamlarının çoğalması, yalnızca ortalama kullanıcılar için değil, ağ ve bulut yöneticileri için de ciddi bir tehdit oluşturuyor.” söz konusu.
“Bu saldırıların kolaylıkla başlatılabilmesi, Google Ads’in ulaşabileceği geniş ve çeşitli kitleyle birleştiğinde, onları özellikle güçlü bir tehdit haline getiriyor.”
Son aylarda artışa tanık olan bir başka teknik de Microsoft OneNote ve Publisher belgeleri gibi yeni dosya biçimlerinin kötü amaçlı yazılım dağıtımı için kötüye kullanılmasıdır.
Saldırılar, diğer kötü amaçlı Office dosyalarını kullanan saldırılardan farklı değildir; burada e-posta alıcısı, belgeyi açmaya ve sahte bir düğmeye tıklamaya kandırılır, bu da Qakbot kötü amaçlı yazılımını almak için gömülü HTA kodunun yürütülmesiyle sonuçlanır.
Sophos araştırmacısı Andrew Brandt, “E-posta yöneticileri, yıllar içinde, kuruluş dışından gelen ve çeşitli kötüye kullanılabilir dosya biçimleri eklenmiş olan tüm gelen iletileri doğrudan engelleyen veya ciddi uyarılar veren kurallar belirledi.” söz konusu.
“OneNote .one not defterlerinin e-posta eki kesme bloğunda son bulacak bir sonraki dosya biçimi olması muhtemel görünüyor, ancak şimdilik kalıcı bir risk olmaya devam ediyor.”