Devam eden bir arama motoru optimizasyonu (SEO) zehirleme saldırısı kampanyasının, kullanıcıları tehlikeye atılmış makinelerde BATLOADER kötü amaçlı yazılımını indirmeleri için kandırmak için meşru yazılım yardımcı programlarına olan güveni kötüye kullandığı gözlemlendi.
Mandiant’tan araştırmacılar, “Tehdit aktörü, kurbanları güvenliği ihlal edilmiş bir web sitesine çekmek ve kötü niyetli bir yükleyiciyi indirmek için SEO anahtar kelimeleri olarak ‘ücretsiz üretkenlik uygulamaları kurulumu’ veya ‘ücretsiz yazılım geliştirme araçları kurulumu’ temalarını kullandı. söz konusu Bu hafta yayınlanan bir raporda.
SEO zehirlenmesi saldırılarında, rakipler, kötü amaçlı yazılımlarını barındıran web sitelerinin (gerçek veya başka türlü) arama motoru sıralamasını yapay olarak yükselterek, arama sonuçlarının en üstünde görünmelerini sağlar; böylece TeamViewer, Visual Studio ve Zoom gibi belirli uygulamaları arayan kullanıcılara virüs bulaşır. kötü amaçlı yazılım
Yükleyici, yasal yazılımı paketlerken, yükleme işlemi sırasında yürütülen BATLOADER yüküyle birlikte gelir. Kötü amaçlı yazılım daha sonra, çok aşamalı enfeksiyon zincirini yayan sonraki aşama yürütülebilir dosyaları indirerek hedeflenen kuruluş hakkında daha fazla bilgi edinmek için bir basamak görevi görür.
Bu yürütülebilir dosyalardan biri, kötü amaçlı bir VBScript ile eklenen Microsoft Windows’un dahili bir bileşeninin değiştirilmiş bir sürümüdür. Saldırı daha sonra adı verilen bir teknikten yararlanır. imzalı ikili proxy yürütme DLL dosyasını meşru “Mshta.exe” yardımcı programını kullanarak çalıştırmak için.
Bu, VBScript kodunun yürütülmesiyle sonuçlanır ve Atera Agent gibi ek yüklerin olduğu saldırının bir sonraki aşamasını etkin bir şekilde tetikler. Kobalt Saldırı İşareti, ve Ursnif uzaktan keşif, ayrıcalık yükseltme ve kimlik bilgisi toplama işlemlerine yardımcı olmak için sonraki aşamalarda teslim edilir.
Dahası, operatörlerin farklı manevralar denediğinin bir işareti olarak, aynı kampanyanın alternatif bir çeşidi, kullanım sonrası faaliyetler için daha fazla takip için ilk uzlaşmanın bir sonucu olarak doğrudan Atera uzaktan izleme yönetim yazılımını teslim etti.
Mandiant ayrıca, saldırıların Conti fidye yazılımı çetesi tarafından benimsenen tekniklerle örtüştüğünü söyledi. halka açık içinde Ağustos 2021. Araştırmacılar, “Şu anda, bu bilgilerin kamuya açıklanması nedeniyle, diğer bağımsız aktörler teknikleri kendi amaçları ve amaçları için kopyalıyor olabilir” dedi.
