Tehdit aktörleri, bilgisayarlarına bulaşmak amacıyla uzaktan erişim Truva atları (RAT’lar) ve bilgi hırsızları da dahil olmak üzere çeşitli kötü amaçlı yazılım türleriyle yüklü PowerShell komut dosyalarını kesmeleri/kopyalamaları ve yapıştırmaları için kullanıcıları kandırmak amacıyla sahte tarayıcı güncellemeleri ve yazılım düzeltmeleri kullanıyor.
Proofpoint’ten araştırmacılar, ilk erişim komisyoncusu tarafından kullanılan ve şu şekilde takip edilen sosyal mühendislik tekniğini gözlemledi: TA571, 17 Haziran’da yayınlanan bir blog yazısında, 1 Mart’tan başlayarak son üç ay içinde kimliği belirsiz bir aktörün de dahil olduğu ortaya çıktı.
Etkinlikte iki sosyal mühendislik yöntemi kullanılmış gibi görünüyor; biri sahte tarayıcı güncellemeleri sunuyor, diğeri ClearFake kampanyası, diğeri ise araştırmacılar tarafından “ClickFix” olarak adlandırılan Word, Google Chrome ve OneDrive ile ilgili hata mesajları veren. Kampanyada sunulan kötü amaçlı yazılımlar şunları içerir: Karanlık Kapı Ve Net Desteği RAT’ler, kötü amaçlı yazılım yükleyicisi Matanbuchusve Lumma ve Vidar dahil olmak üzere çeşitli bilgi hırsızları.
Proofpoint araştırmacıları Tommy Madjar, Dusty Miller, Selena Larson ve Proofpoint Tehdit Araştırma Ekibi, “İlk kampanya ister malspam yoluyla başlasın, isterse web tarayıcısı enjeksiyonları yoluyla iletilsin, teknik benzerdir.” yazıda açıklandı.
Kampanyalar, kullanıcılara, belgeyi veya web sayfasını açmaya çalışırken bir hata oluştuğunu öneren açılır bir metin kutusu olduğunu ve kötü amaçlı bir komut dosyasını kopyalayıp PowerShell terminaline veya Windows Çalıştır iletişim kutusuna sonunda komut dosyasını çalıştırmak için yapıştırmaya yönelik ek talimatlar olduğunu gösteriyor PowerShell aracılığıyla dediler.
Saldırganların, kampanyada kullanıcılara iletilen sahte hata mesajlarında “akıllı” ve “otoriter” sosyal mühendislik kullandığı ve ayrıca “izleyicinin riski düşünmek için duraksamadan hızlı harekete geçebilmesi için hem sorun hem de çözüm sağladığı” belirtildi. araştırmacılar kaydetti.
Faaliyetin, siber suçlular arasında, iç içe geçmiş PowerShell ve kullanıcılar tarafından kolayca tespit edilemeyen diğer teknik taktikleri kullanan kampanyaların başarısını garantileyen “giderek daha yaratıcı saldırı zincirleri” benimseme eğilimini yansıttığı belirtildi.
Kötü Amaçlı Yazılım Dağıtımı için ClearFake
Araştırmacılar, Proofpoint’in kes-yapıştır tekniğini ilk olarak Nisan ayının başlarında bir ClearFake kampanyasında ve “o zamandan bu yana tüm diğer ClearFake kampanyalarında” gözlemlediğini belirtti. ClearFake kötü amaçlı HTML ve JavaScript içeren meşru web sitelerini tehlikeye atan, önceden tanımlanmış bir sahte tarayıcı güncelleme etkinliği kümesidir.
En son kampanyalarda, bir kullanıcı güvenliği ihlal edilmiş bir web sitesini ziyaret ettiğinde enjeksiyon, web sitesinin, EtherHiding olarak bilinen bir teknik kullanarak Binance’in Akıllı Zincir sözleşmeleri aracılığıyla blockchain üzerinde barındırılan kötü amaçlı bir komut dosyasını yüklemesine neden oldu. İlk komut dosyası daha sonra bir alan adından ikinci bir komut dosyası yükledi ve sonunda web sitesini doğru bir şekilde görüntülemek için bir “kök sertifika” yüklemeleri talimatını veren sahte bir uyarı uyarısı sundu.
Mesajda, bir PowerShell betiğini kopyalamak için bir düğmeye tıklamaya yönelik talimatlar yer alıyordu ve ardından bu betiğin kurbanın bilgisayarında manuel olarak nasıl çalıştırılacağına ilişkin adımlar sağlanıyordu. Bu yapılırsa kullanıcı PowerShell’i PowerShell komut satırı arayüz penceresine yapıştırarak etkili bir şekilde çalıştırır. Proofpoint, en az beş tür kötü amaçlı yazılımın bu şekilde dağıtıldığını gözlemledi: Lumma hırsızıAmadey Loader ve JaskaGo.
Hata Mesajları İçeren ClickFix Yemleri
Proofpoint, ClickFix kampanyası olarak adlandırdığı kampanyayı ilk kez Nisan ortasında, araştırmacılarının pley’de iframe’e yol açan bir enjeksiyon içeren ele geçirilmiş siteler bulması üzerine gözlemlemeye başladı.[.]bir kaplama hata mesajı olarak görüntülenir. Mesaj, hatalı bir tarayıcı güncellemesinin düzeltilmesi gerektiğini iddia etti ve kurbandan, bir Kullanıcı Hesabı Denetimi (UAC) istemi açacak olan “Windows PowerShell (Yönetici)”yi açmasını ve ardından kodu yapıştırmak için sağ tıklamasını istedi.
Kullanıcılar yemi yutarsa, PowerShell yürütülebilir bir dosyayı indirip çalıştıran başka bir uzak PowerShell betiğini çalıştırır ve sonuçta Vidar hırsızı. PowerShell’de kullanılan yük alanı, araştırmacıların etkinliği keşfetmesinden sadece birkaç gün sonra çevrimdışına alınırken, iframe’in özel içeriği, bu ayın başlarında hala aktif olan ClearFake enjeksiyonuyla değiştirildi. Ancak araştırmacılar ClearFake ve ClickFix’in arkasında aynı aktörün olup olmadığı konusunda belirsizliğini koruyor.
TA571 Atıf
Proofpoint, TA571’in 1 Mart gibi erken bir tarihte, 100.000’den fazla mesaj içeren ve dünya çapında binlerce kuruluşu hedef alan bir kampanyada kurbanlara karşı kes-yapıştır PowerShell kullandığını gözlemledi. Tehdit aktörü, Microsoft Word’e benzeyen bir sayfanın yanı sıra “Word Online” uzantısının yüklü olmadığını iddia eden bir hata mesajı görüntüleyen bir HTML eki içeren e-postalar kullandı.
Mesaj, kullanıcılara devam etmeleri için “nasıl düzeltilir” veya “otomatik düzeltme” olmak üzere iki seçenek sundu; bunların her ikisi de onları Matanbuchus veya dahil olmak üzere kötü amaçlı yazılım yüklemek için kötü amaçlı yollara yönlendirdi. Karanlık KapıPowerShell veya DLL dosyalarını kullanarak.
Araştırmacılar, TA571’in bahar boyunca “çeşitli görsel cazibeler kullanarak ve kurbana PowerShell terminalini açması veya Çalıştır iletişim kutusunu kullanma talimatı vermek arasında değişiklik yaparak” benzer saldırı zincirleri kullanmasının, aktör ile ClickFix kampanyası arasındaki bağlantıyı gösterdiğini belirtti.
Kötü Amaçlı Yazılım Riskini Azaltma
Proofpoint, son kampanyalarda güvenlik ihlali göstergelerinin (IoC’ler) bir listesini içeriyordu ve bunun “kapsamlı bir liste” olmadığını, yalnızca web sitelerinin, e-posta adreslerinin ve araştırmacılarının gözlemlediği kötü amaçlı faaliyetlerle ilgili diğer süreçlerin anlık görüntüsü olduğunu kabul etti.
Genel olarak saldırı zincirinin başarılı olması için “önemli kullanıcı etkileşimi” gerekir; bu da kuruluşların ağlarındaki risklerden kaçınmaya yardımcı olmanın en pratik yolunun şu olduğu anlamına gelir: çalışan farkındalığı Ve eğitimAraştırmacılar şunu belirtti.
Araştırmacılar, “Kuruluşlar, kullanıcıları etkinliği tanımlama ve şüpheli etkinliği güvenlik ekiplerine bildirme konusunda eğitmelidir” diye yazdı. “Bu çok özel bir eğitimdir ancak mevcut bir kullanıcı eğitim programına kolayca entegre edilebilir.”