Son zamanlarda siber suçlu grupları kendi saldırılarını isteyerek üstlenirlerse, bazen hedefler daha az netleşir. bir blog yazısındaSiber güvenlik şirketi Proofpoint, inşaat sektöründeki ve Fransız idaresindeki Fransız kuruluşlarını hedef alan bir kötü niyetli saldırı kampanyasına karşı uyarıyor.
“Yılan” olarak adlandırılan grup, öncelikle ek olarak bir CV içeren sahte bir iş başvurusu gibi görünen bubi tuzağına sahip bir e-posta göndererek hedeflerindeki makineleri ele geçirmeye çalışır. Ek, kullanıcıdan makroları etkinleştirmesini istemek için GDPR (Genel Veri Koruma Yönetmeliği) bahanesini kullanan bir Word belgesi içerir. Bunlar çalışırsa, belge daha sonra “steganografi” olarak bilinen bir teknik olan bir görüntüde gizlenmiş bir Powershell betiği indirecektir. Bu teknik, bir görüntünün kodunda potansiyel olarak kötü amaçlı kodun gizlenmesini içerir ve güvenlik araçlarının uyanıklığını tarafsız bir şekilde aldatmaya izin verir.
yılanlar ve tilkiler
Bu komut dosyası, çeşitli programlar için yükleyiciler içeren paketler oluşturmanıza olanak tanıyan bir dosya yönetim aracı olan Chocolatey yazılımını indirir ve kurar.
Proofpoint’e göre, bu yardımcı programın kullanımı, kurban tarafından yerleştirilen algılama ve koruma araçlarını atlatmanın bir yolu olabilir; Chocolatey, kullanımı otomatik olarak bir uyarı vermeyen meşru bir yardımcı programdır. Bu, Python’u kurmak, ardından “Yılan” arka kapısını içeren steganografik teknik sayesinde yine bir görüntüde gizlenen yeni bir Python betiği indirmek için kullanılır. Kötü amaçlı komut dosyalarını gizlemek için kullanılan görüntüler arasında, özellikle Dora the Explorer serisinden hırsız tilki Swiper’ın bir görüntüsünü buluyoruz.
Bu arka kapı daha sonra komut sunucularını düzenli olarak kontrol eder. Proofpoint, arka kapı tarafından saldırganlar tarafından gönderilen komutları almak ve arka kapı tarafından alınan verileri virüslü makineye göndermek için kullanılan soğan.pet’te iki alan adı belirlediğini söylüyor.
gelişmiş tehdit
Proofpoint’in bakış açısından, bu saldırgan grubu karmaşık tehditler kategorisine giriyor. “Yüklerde steganografinin kullanımı benzersizdir; Proofpoint, kampanyalarda steganografi kullanımını nadiren gözlemliyor” diyor şirketin araştırmacıları.
Kampanyanın diğer teknik yönleri de benzersizdir, ancak saldırganların nihai hedefi belirgin değildir. Proofpoint araştırmacıları, “Başarılı bir uzlaşma, kötü niyetli bir aktörün bilgi çalma, virüslü bir ana bilgisayarın kontrolünü ele geçirme veya ek yükler yükleme dahil olmak üzere çeşitli faaliyetler gerçekleştirmesine izin verecektir” diyor. Daha fazla ayrıntı olmaması durumunda, Proofpoint tespit edilen kampanyaları bilinen diğer kötü niyetli gruplarla ilişkilendirmeyi reddeder.