Microsoft, hassas bilgileri çalmak için tasarlanmış fırsatçı bir saldırı olduğunu söylediklerinin bir parçası olarak küresel olarak bir milyondan fazla cihazı etkilediği tahmin edilen büyük ölçekli bir kötü niyetli kampanyanın ayrıntılarını açıkladı.
Etkinliği Aralık 2024’ün başlarında tespit eden teknoloji devi, kimlik avı, arama motoru optimizasyonu (SEO) veya kötü niyetli bir şekilde uzak erişim veya bilgi çalma kötü amaçlı yazılımları dağıttığı bilinen bir dizi tehdit aktörü için kullanılan bir takma ad olan daha geniş şemsiye fırtına-0408 altında izliyor.
Microsoft Tehdit İstihbarat Ekibi, “Saldırı, kullanıcının daha sonra GitHub’a ve diğer iki platforma yönlendirildiği bir aracı web sitesine yol açan, kötü niyetli yönlendiricilerle gömülü yasadışı akış web sitelerinden kaynaklandı.” söz konusu.
“Kampanya, hem tüketici hem de kurumsal cihazlar da dahil olmak üzere çok çeşitli kuruluşları ve endüstrileri etkiledi ve saldırının gelişigüzel doğasını vurguladı.”
Kampanyanın en önemli yönü, GitHub’ın ilk erişim yüklerini sunmak için bir platform olarak kullanılmasıdır. En az iki izole edilmiş örnekte, yükler Discord ve Dropbox’ta barındırılmıştır. Github depoları o zamandan beri devredildi. Şirket, bu tür depoların kaldırıldığını açıklamadı.
Microsoft’a ait kod barındırma hizmeti, Lumma Stealer ve Doerium gibi bir dizi ek programın dağıtılmasından sorumlu olan ve sırayla sistem bilgilerini toplayabilen bir dizi ek programın dağıtıcı kötü amaçlı yazılım için bir evreleme alanı görevi görür.
Saldırı ayrıca dört ila beş katman içeren sofistike bir yönlendirme zinciri kullanıyor ve ilk yeniden yönetmen korsan içerik sunan yasadışı akış web sitelerinde bir IFrame öğesine gömülü.
Genel enfeksiyon dizisi, sistem keşfi, bilgi toplama ve daha fazla veri hırsızlığını kolaylaştırmak için Netsupport sıçan ve otomatik komut dosyaları gibi takip yüklerinin kullanımını içeren çok aşamalı bir işlemdir. Uzaktan erişim Truva atı ayrıca stealer kötü amaçlı yazılım için bir kanal görevi görür.
- Birinci aşama – Hedef cihazlarda bir dayanak oluşturun
- İkinci aşama – Sistem keşfi, toplama ve pessfiltrasyon ve yük dağıtım
- Üçüncü aşama-Komut yürütme, yük dağıtım, savunma kaçakçılığı, kalıcılık, komut ve kontrol iletişimi ve veri açığa çıkması
- Dördüncü Aşamalı – PowerShell Script, Microsoft Defender istisnalarını yapılandıracak ve uzak bir sunucudan veri indirmek için komutları çalıştıracak
Saldırıların bir başka özelliği, Netsupport sıçanını indirmek, yüklü uygulamaları ve güvenlik yazılımlarını tanımlamak, özellikle kripto para birimi cüzdanlarının varlığını taramak ve potansiyel finansal veri hırsızlığını gösteren çeşitli PowerShell komut dosyalarının kullanımı ile ilgilidir.
Microsoft, “Bilgi Stealers’ın yanı sıra, PowerShell, JavaScript, VBScript ve otomatik komut dosyaları ev sahibinde çalıştırıldı.” Dedi. “Tehdit oyuncusu, PowerShell.exe, msBuild.exe ve C2 için regasm.exe ve kullanıcı verilerinin ve tarayıcı kimlik bilgilerinin veri söndürülmesini ve regasm.exe gibi yer alan ikili ve senaryoların (LOLBA’lar) kullanımını içeriyordu.”
Açıklama, Kaspersky’nin Deepseek ve GroK Yapay Zeka (AI) chatbotlarının kullanıcıları daha önce belgelenmemiş bir Python bilgi stealer yüklemesi için kandırmak için kullanıldığını gösteren sahte web sitelerinin kullanıldığını açıkladı.
X’te doğrulanmış hesaplar tarafından ilan edilen Deekseek temalı tuzak siteleri (örneğin, @CoLeadDisontech, @gaurdevang2 ve @saduq5), saldırganlara bilgisayara uzaktan erişim sağlamak için SSH kullanan bir PowerShell betiği yürütmek için kullanılmıştır.
Rus siber güvenlik şirketi, “Siber suçlular kurbanları kötü niyetli kaynaklara çekmek için çeşitli planlar kullanıyor” söz konusu. “Tipik olarak, bu tür sitelere bağlantılar elçiler ve sosyal ağlar aracılığıyla dağıtılır. Saldırganlar ayrıca çok sayıda bağlı kuruluş programı aracılığıyla kötü amaçlı sitelere yazım hatası kullanabilir veya reklam trafiği satın alabilirler.”
