Gelişmiş bir kimlik avı kampanyası, güvenliği ihlal edilmiş Windows makinelerinden geniş bir bilgi yelpazesi toplamak amacıyla Agent Tesla, OriginBotnet ve RedLine Clipper gibi üçlü tehditleri dağıtmak için bir Microsoft Word belge cazibesi kullanıyor.
Fortinet FortiGuard Laboratuvarları araştırmacısı Cara Lin, “Kimlik avı e-postası, Word belgesini ek olarak göndererek, kasıtlı olarak bulanıklaştırılmış bir görüntü ve sahte bir reCAPTCHA sunarak alıcıyı belgeye tıklamaya teşvik ediyor.” söz konusu.
Resme tıklamak, uzak bir sunucudan bir yükleyicinin teslim edilmesine yol açar; bu yükleyici, tuş kaydı ve şifre kurtarma için OriginBotnet’i, kripto para birimi hırsızlığı için RedLine Clipper’ı ve hassas bilgileri toplamak için Ajan Tesla’yı dağıtmak üzere tasarlanmıştır.
.NET’te yazılan yükleyici, güvenlik yazılımı tarafından tespit edilmekten kaçınmak amacıyla dosyanın boyutunu 400 MB’a çıkarmak için boş baytlar ekleyerek ikili dolgu adı verilen bir teknik kullanır.
Yükleyicinin etkinleştirilmesi, ana bilgisayarda kalıcılık oluşturmak ve son yüklerin serbest bırakılmasından sorumlu bir dinamik bağlantı kitaplığını (DLL) çıkarmak için çok aşamalı bir süreci tetikler.
Bunlardan biri, hedef cüzdan adresini saldırgan tarafından kontrol edilen bir adresle değiştirmek üzere kullanıcının sistem panosuna müdahale ederek kripto para birimlerini çalmak için kullanılan bir .NET yürütülebilir dosyası olan RedLine Clipper’dır.
“Bu işlemi gerçekleştirmek için RedLine Clipper ‘OnClipboardChangeEventHandlerLin, pano değişikliklerini düzenli olarak izlemek ve kopyalanan dizenin normal ifadeye uyup uymadığını doğrulamak için “dedi.
Ajan TeslaÖte yandan, .NET tabanlı bir uzaktan erişim truva atı (RAT) ve ilk erişim elde etmek ve web tarayıcılarında kullanılan tuş vuruşları ve oturum açma kimlik bilgileri gibi hassas bilgileri bir komut ve kontrol (C2) sunucusuna sızdırmak için kullanılan bir veri çalıcıdır. SMTP protokolü üzerinden.
Ayrıca, veri toplamak, C2 sunucusuyla iletişim kurmak ve güvenliği ihlal edilmiş uç noktalarda keylogging veya şifre kurtarma işlevlerini yürütmek için sunucudan ek eklentiler indirmek için geniş bir özellik yelpazesine sahip olan OriginBotnet adlı yeni bir kötü amaçlı yazılım da teslim edildi.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Lin, “PasswordRecovery eklentisi çeşitli tarayıcı ve yazılım hesaplarının kimlik bilgilerini alır ve düzenler” dedi. “Bu sonuçları kaydediyor ve bunları HTTP POST istekleri aracılığıyla rapor ediyor.”
Palo Alto Networks Birim 42’nin Eylül 2022’de, OriginBotnet’inkine benzer özelliklerle gelen OriginLogger adlı Ajan Tesla’nın halefi hakkında ayrıntılı bilgi vermesi, bunların ikisinin de aynı tehdit aktörünün işi olabileceğini öne sürmesi dikkate değer.
“Bu siber saldırı kampanyası […] Fortinet, karmaşık bir olaylar zincirini içerdiğini belirtti. “Bu olay, kimlik avı e-postaları aracılığıyla dağıtılan ve kurbanların bir dizi kötü amaçlı yazılım yükünü çalıştıran bir yükleyiciyi indirmesine yol açan kötü amaçlı bir Word belgesiyle başladı. Saldırı, tespit edilmekten kaçınmak ve güvenliği ihlal edilmiş sistemlerde kalıcılığı sürdürmek için karmaşık teknikler gösterdi.”
Güncelleme
OriginBotnet ve OriginLogger arasındaki potansiyel bağlantılarla ilgili daha fazla yorum almak üzere kendisine ulaşıldığında Lin, The Hacker News’e e-posta yoluyla iki kötü amaçlı yazılım ailesi arasında doğrudan bir bağlantı tespit edilemediğini söyledi.
OriginLogger satıcısının kanalı, botnet ile ilgili yazılım/hizmet geliştirdiklerine dair herhangi bir kanıt göstermedi ve özellik setleri önemli farklılıklar gösteriyor:
- Protokol: OriginLogger, Agent Tesla ile benzerlikler paylaşıyor; her ikisi de FTP, SMTP veya Telegram protokolleri seçeneklerini içeriyor; OriginBotnet ise yalnızca HTTPS kullanıyor.
- İleti: Yalnızca OriginBotnet, şifre çözme anahtarını HTTP Başlığı içerisine “x-anahtarı” olarak dahil eder.
- Keylogger ve Şifre Çalma: OriginLogger ve Agent Tesla, keylogger’ları ve şifre çalma işlevlerini .NET dosyasına entegre ederken, OriginBotnet’in bu işlevleri gerçekleştirmek için C2 sunucusundan ek bir eklentiye ihtiyacı vardır.
- C2 Komutları: OriginBotnet’te bulunan “downloadexecute”, “https://thehackernews.com/2023/09/”uninstall,”https://thehackernews.com/2023/09/”update” ve “load” gibi komutlar bulunamadı OriginLogger’da.
- Dosya Türü Desteği: OriginBotnet, OriginLogger’da bulunmayan bir özellik olan çeşitli dosya türlerini destekler.