Bu sonbaharda kimliği belirsiz bir tehdit aktörü, çeşitli sektörlerdeki Amerikan ve Kanadalı kuruluşlara karşı düzinelerce çeşitli sosyal mühendislik kampanyası yürüttü. çok yönlü DarkGate kötü amaçlı yazılımı.

İçinde bu hafta bir blog yazısıProofpoint’ten araştırmacılar, “BattleRoyal” adını verdikleri failin tamamen yeni bir aktör mü yoksa mevcut herhangi bir aktörle akraba mı olduğunu kesin olarak söyleyemediler. Belki de sorunun bir kısmı kullandığı çok çeşitli taktikler, teknikler ve prosedürlerle (TTP’ler) ilgilidir.

BattleRoyal, DarkGate’i ve daha yakın zamanda NetSupport uzaktan kontrol yazılımını sunmak için toplu olarak kimlik avı e-postalarının yanı sıra sahte tarayıcı güncellemelerini kullanıyor ve trafik dağıtım sistemlerinden (TDS’ler), kötü amaçlı VBScript’ten, steganografiden ve Windows Defender güvenlik açığından yararlanıyor . Ancak bugüne kadar bu taktiklerin hiçbiri bilinen herhangi bir başarılı istismara yol açmadı.

BattleRoyal’in TTP’leri

BattleRoyal bazen sosyal mühendisliğini sahte tarayıcı güncellemeleri yoluyla yapar. Araştırmacılar bu aktiviteyi ilk kez gözlemledim, Ekim ortasında “RogueRaticate” olarak takip edildi. Bu durumlarda saldırgan, içerik stil sayfalarını (CSS) kullanarak istekleri gizlice kontrol ettiği alanlara enjekte eder. steganografi kötü amaçlı kodunu gizlemek için. Kod, trafiği filtreliyor ve ardından hedeflenen tarayıcı kullanıcılarını sahte güncellemeye yönlendiriyor.

Ancak BattleRoyal en çok geleneksel e-posta kimlik avından hoşlanır. Eylül ve Kasım ayları arasında, toplamda on binlerce e-postayı temsil eden en az 20 kampanyadan sorumluydu.

Genellikle bahçeye özgü bir mesajla başlarlar.

BattleRoyal tekniğinde kullanılan bir e-posta örneği

Gövdede yer alan bağlantılar, günümüz siber suçlularının ortak bir aracı olan birden fazla TDS’den faydalanıyor olabilir.

Proofpoint’in kıdemli tehdit istihbarat analisti Selena Larson, “Proofpoint, özellikle siber suç kampanyaları olmak üzere saldırı zincirlerinde tehdit aktörleri tarafından düzenli olarak TDS’lerin kullanıldığını görüyor” diyor. “Tehdit aktörleri, ele geçirilmesini istedikleri bilgisayarların korunmasını sağlamak için bunları kullanıyor ve bot, olası araştırmacı vb. gibi standartlarını karşılamayan her şeyin yük dağıtımından başka bir yere yönlendirilmesini sağlıyor.” Bugünlerde en yaygın iki TDS’nin BattleRoyal tarafından kullanılanlarla aynı olduğunu ekliyor: 404 TDS ve yasal Keitaro TDS.

TDS’ler, kullanıcıları aşağıdaki avantajlardan yararlanan bir URL dosyasına yönlendirir: CVE-2023-360258.8 kritik Microsoft Defender SmartScreen’i zayıflatan güvenlik açığını atlayın; İronik bir şekilde SmartScreen, kullanıcıların kimlik avı sitelerine ulaşmasını önlemek için tasarlanmış bir Windows güvenlik özelliğidir.

BattleRoyal’in, geçen ay açıklanmasından (ve ardından kamuya açık bir şekilde kullanılmasından) önce CVE-2023-36025’i sıfır gün olarak kullandığı görülüyor.

DarkGate Çok Isınıyor

Çift tıklandığında, kötü amaçlı URL dosyaları Windows savunmasını atlıyor ve bir dizi kabuk komutunu çalıştıran kötü amaçlı VBScript’i indiriyor. Ve DarkGate’in bulunduğu yer bu zincirin sonunda yer alıyor.

DarkGate, yükleyici-kriptominer-uzaktan erişim Truva Atı’nın (RAT) birleşimidir. Larson, yarım on yılı aşkın bir süredir ortalıkta olmasına rağmen şöyle açıklıyor: “Küçük bir grup tehdit aktörü tarafından en sık gözlemlenen kötü amaçlı yazılım yüklerinden biri olarak yakın zamanda Ekim ayı civarında ortaya çıktı. Faaliyetteki son ani artış muhtemelen geliştiricinin bu yazılımı kiralamasından kaynaklanıyor. Az sayıda bağlı kuruluşa kötü amaçlı yazılım dağıttılar ve bunların reklamını siber suçlu korsanlığı forumlarında yaptılar.” Proofpoint, BattleRoyal’in yanı sıra TA577 ve TA571 olarak takip ettiği grupların da onu kullandığını gözlemledi.

Yaklaşık bir ay önce, BattleRoyal’in e-posta kampanyaları DarkGate’i, siber suçların gündemine oturan meşru bir uzaktan erişim aracı olan NetSupport ile değiştirdi. birkaç yıldır.

Larson, “Yük değişiminin nedeninin DarkGate’in popülaritesindeki ani artış ve ardından tehdit araştırmacıları ve güvenlik topluluğu tarafından kötü amaçlı yazılıma gösterilen ilgiden (bu da etkinliğin azalmasına yol açabilir) kaynaklanıp kaynaklanmadığını henüz göreceğiz” diyor. “veya yalnızca farklı bir veri yükünde geçici bir değişiklik.”



siber-1