Finansal motivasyona sahip tehdit aktörü olarak bilinen FIN7 NetSupport RAT dağıtımıyla sonuçlanan MSIX yükleyicilerini sunmanın bir yolu olarak meşru markaları taklit eden kötü amaçlı Google reklamlarından yararlanıldığı gözlemlendi.
Siber güvenlik firması eSentire, “Tehdit aktörleri, AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable ve Google Meet gibi tanınmış markaların kimliğine bürünmek için kötü amaçlı web siteleri kullandı.” söz konusu Bu hafta başında yayınlanan bir raporda.
FIN7 (diğer adıyla Carbon Spider ve Sangria Tempest), 2013’ten bu yana aktif olan kalıcı bir e-suç grubudur; başlangıçta ödeme verilerini çalmak için satış noktası (PoS) cihazlarını hedef alan saldırılarla uğraşır, ardından fidye yazılımı kampanyaları yoluyla büyük firmaları ihlal etmeye yönelir. .
Yıllar geçtikçe tehdit aktörü, diğerlerinin yanı sıra BIRDWATCH, Carbanak, DICELOADER (aka Lizar ve Tirion), POWERPLANT, POWERTRASH ve TERMITE gibi çeşitli özel kötü amaçlı yazılım ailelerini benimseyerek taktiklerini ve kötü amaçlı yazılım cephaneliğini geliştirdi.
FIN7 kötü amaçlı yazılımı genellikle hedef ağa veya ana bilgisayara giriş olarak hedef odaklı kimlik avı kampanyaları aracılığıyla dağıtılıyor, ancak grup son aylarda saldırı zincirlerini başlatmak için kötü amaçlı reklamcılık tekniklerinden yararlandı.
Aralık 2023’te Microsoft, saldırganların, kullanıcıları kötü amaçlı MSIX uygulama paketlerini indirmeye ikna etmek için Google reklamlarına güvendiğini gözlemlediğini ve bunun sonuçta NetSupport RAT ve Gracewire’ı yüklemek için kullanılan PowerShell tabanlı bir bellek içi damlalık olan POWERTRASH’ın yürütülmesine yol açtığını gözlemlediğini söyledi.
“Sangria Fırtınası […] Teknoloji devi o dönemde, “şu anda genellikle veri hırsızlığına ve ardından hedefli gasp veya Clop fidye yazılımı gibi fidye yazılımı dağıtımına yol açan izinsiz girişler gerçekleştirmeye odaklanan, finansal motivasyona sahip bir siber suç grubudur” dedi.
MSIX’in kötü amaçlı yazılım dağıtım vektörü olarak birden fazla tehdit aktörü tarafından kötüye kullanılması (muhtemelen Microsoft Defender SmartScreen gibi güvenlik mekanizmalarını atlama yeteneği nedeniyle), o zamandan beri Microsoft’un protokol işleyicisini varsayılan olarak devre dışı bırakmasına yol açtı.
Nisan 2024’te eSentire tarafından gözlemlenen saldırılarda, sahte siteleri Google reklamları aracılığıyla ziyaret eden kullanıcılara, onları bir PowerShell betiği içeren bir MSIX dosyası olan sahte bir tarayıcı uzantısı indirmeye teşvik eden bir açılır mesaj görüntülenir. sistem bilgilerini alır ve başka bir kodlanmış PowerShell betiğini getirmek için uzak bir sunucuyla iletişim kurar.
İkinci PowerShell verisi, aktör kontrollü bir sunucudan NetSupport RAT’ı indirmek ve yürütmek için kullanılır.
Kanadalı siber güvenlik şirketi, Python betiği aracılığıyla DICELOADER’ı da içeren ek kötü amaçlı yazılım dağıtmak için kullanılan uzaktan erişim truva atını da tespit ettiğini söyledi.
eSentire, “FIN7’nin güvenilir marka adlarını istismar etmesi ve NetSupport RAT’ı ve ardından DICELOADER’ı dağıtmak için aldatıcı web reklamları kullanması, özellikle imzalı MSIX dosyalarının bu aktörler tarafından kötüye kullanılmasıyla devam eden tehdidin altını çiziyor ve bunun planlarında etkili olduğu kanıtlandı.” dedi.
Benzer bulgular da oldu bağımsız olarak rapor edildi Malwarebytes tarafından yapılan bu faaliyet, Asana, BlackRock, CNN, Google Meet, SAP ve The Wall Street Journal gibi yüksek profilli markaları taklit ederek kötü amaçlı reklamlar ve modeller aracılığıyla kurumsal kullanıcıları ayırmak olarak nitelendirildi. Ancak kampanyayı FIN7’ye bağlamadı.
FIN7’nin kötü amaçlı reklamcılık planlarına ilişkin haberler, iş ortaklarını hedef almak üzere tasarlanmış bir SocGholish (diğer adıyla FakeUpdates) enfeksiyon dalgasıyla örtüşüyor.
eSentire, “Saldırganlar, hassas kimlik bilgilerini toplamak için araziden yaşama tekniklerini kullandı ve özellikle yerel ve işletmeler arası ilişkilerin haritasını çıkarmak için hem e-posta imzalarında hem de ağ paylaşımlarında web işaretlerini yapılandırdı.” söz konusu. “Bu davranış, ilgili iş ortaklarını hedeflemek için bu ilişkilerden yararlanmaya ilgi olduğunu gösteriyor.”
Bu aynı zamanda Windows ve Microsoft Office kullanıcılarını hedef alan, RAT’ları ve kripto para madencilerini popüler yazılımlara yönelik crack’ler yoluyla yaymayı hedefleyen bir kötü amaçlı yazılım kampanyasının keşfinin ardından geldi.
Broadcom’un sahibi olduğu Symantec, “Kötü amaçlı yazılım bir kez yüklendikten sonra kalıcılığı korumak için genellikle görev zamanlayıcıdaki komutları kaydediyor ve yeni kötü amaçlı yazılımın kaldırıldıktan sonra bile sürekli olarak yüklenmesine olanak tanıyor.” söz konusu.