“Voldemort” adı verilen karmaşık bir kötü amaçlı yazılım kampanyası, Avrupa, Asya ve ABD’deki vergi makamlarını taklit ederek dünya çapındaki kuruluşları hedef alıyor.
Bu kötü amaçlı faaliyet, 5 Ağustos’ta başladığından bu yana 20.000’den fazla kimlik avı mesajının bildirildiği dünya çapında düzinelerce kuruluşu etkiledi. rapor Proofpoint’ten.
Kötü amaçlı yazılım, veri sızdırmak ve ek kötü amaçlı yükler dağıtmak için C dilinde yazılmış özel bir arka kapıdır.
Saldırı, komut ve kontrol (C2) iletişimleri için Google Sheets’i ve kötü amaçlı Windows arama protokolüyle bağlanmış dosyaları kullanır. Kurban kötü amaçlı yazılımı indirdiğinde, C2 sunucusuyla iletişim kuran bir DLL yüklemek için meşru bir WebEx yazılımı sürümü kullanır.
Voldemort Vergi Otoritesine Dönüşüyor
Araştırmacılar, kampanyanın 17 Ağustos’ta önemli ölçüde arttığını, o tarihte çoğunlukla vergi dairelerini taklit eden yaklaşık 6.000 kimlik avı e-postasının tek bir günde gönderildiğini söyledi.
Bunlar arasında ABD İç Gelir Servisi (IRS), İngiltere’nin HM Gelir ve Gümrükleri ve Fransa’nın Direction Générale des Finances Publiques’i de vardı. Her bir kimlik avı e-postası, ilgili vergi otoritesinin ana dilinde hazırlanmıştı ve bu da yemlere bir güvenilirlik katmanı ekliyordu.
Ele geçirilmiş gibi görünen alan adlarından gönderilen e-postalarda, güvenilirliği daha da artırmak için vergi dairelerinin meşru alan adları da yer alıyordu.
Raporda, kampanyanın nihai amacının henüz net olmadığı belirtilirken, Proofpoint araştırmacıları, Voldemort’un istihbarat toplama yetenekleri ve ek yükler konuşlandırma potansiyeli göz önüne alındığında, bunun büyük ihtimalle casusluk amaçlı olduğuna inandıklarını söyledi.
Google Kullanıcıları Kötü Amaçlı Büyülere Karşı Son Derece Duyarlı
Qualys Tehdit Araştırmaları Birimi’nde güvenlik araştırmaları yöneticisi olan Mayuresh Dani, ekosistemlerinde Google kullanan kuruluşların Voldemort’a yönelik riskle karşı karşıya kalma ihtimalinin daha yüksek olduğunu, çünkü şirketin platformlarının izin verilenler listesinde yer aldığını söylüyor.
“Kuruluşlar belirtilen noktalara yönelik trafiği izlemediği sürece [indicators of compromise]”Bu saldırılar büyük ölçüde radar altında kalacaktır” diye belirtiyor.
Dani, bunun MITRE ATT&CK çerçevesinde T1567.002 olarak tanımlanan bilinen bir teknik olduğunu açıklıyor ve kuruluşların tarayıcı dışı işlemlerle ilişkili bulut hizmetlerine olan ağ bağlantılarının yanı sıra bulut hizmetlerine olan büyük miktardaki ağ bağlantılarını da izlemelerini öneriyor.
Bu arada, DoControl’ün kurucu ortağı ve CRO’su Omri Weinberg, hükümet iletişimlerinin gerçekliğini doğrulamanın, özellikle bu taklitlerin ne kadar ikna edici olabileceği göz önüne alındığında, zor olduğunu söylüyor.
“Kuruluşlar, özellikle finansal konularla ilgili olan hassas talepleri veya bildirimleri ele almak için net protokoller oluşturmalıdır,” diye açıklıyor. “Bu, harekete geçmeden önce her zaman ayrı, bilinen iyi bir kanaldan doğrulama yapmayı içerebilir.”
Çalışanların bu tür durumlar hakkında eğitilmesinin hayati önem taşıdığını da sözlerine ekledi. kimliğe bürünme saldırıları.
“Özellikle aciliyet duygusu yaratan istenmeyen iletişimlere karşı şüpheci olmaları gerektiğini bilmeliler” dedi.
DMARC ve diğer e-posta kimlik doğrulama protokollerinin uygulanmasının bazı sahte e-postaları filtrelemeye yardımcı olabileceğini vurgulayan Weinberg, kullanıcı farkındalığı önemli olmaya devam ediyor.
Güvenlik En İyi Uygulamaları İyi Bir Savunma Tılsımıdır
Sectigo’nun kıdemli üyesi Jason Soroko, şirketlerin e-posta filtreleme sistemlerini geliştirerek ve çalışanlarına şüpheli e-postaları tanıma ve bildirme konusunda eğitim vererek kişiselleştirilmiş kimlik avı saldırılarına karşı koruma sağlayabileceğini söylüyor.
Ayrıca istihdam edilmesini de öneriyor güçlü çok faktörlü kimlik doğrulama (MFA)ve kamuya açık bilgilerin görünürlüğünü düzenli olarak güncelleyerek ve denetleyerek maruziyeti azaltır.
“Kuruluşlar ayrıca gelişmiş uç nokta algılama ve yanıt araçları kullanmalı, sıkı ağ segmentasyonu uygulamalı, düzenli güvenlik yamaları uygulamalı, anormal davranışları izlemeli ve hassas bilgileri korumak için güçlü veri şifreleme uygulamaları uygulamalıdır” diye ekliyor.
Ve son olarak, uygulama DMARC dahil e-posta kimlik doğrulama protokolleriAyrıca, SPF ve DKIM’in yanı sıra, bir kuruluş içinde e-posta gönderen kimliklerinin meşruluğunu sağlamak için S/MIME sertifikalarının da kimliğe bürünme tabanlı saldırıları önlemeye yardımcı olabileceğini vurguluyor.