Siber güvenlik araştırmacıları, saldırganların kötü amaçlı yazılım yükleyicileri dağıtmak için e-posta ileti dizilerini ele geçirdiği yeni bir kampanya belirledi.
Intezer uzmanları, bilinmeyen bir tehdit aktörünün oturum açma kimlik bilgilerini çalmak için yama uygulanmamış, güvenliği ihlal edilmiş Microsoft Exchange sunucularındaki bilinen güvenlik açıklarını kötüye kullandığını söylüyor.
Bir e-posta hesabının güvenliği ihlal edildiğinde, saldırganlar potansiyel hedeflere sahip e-posta dizileri için gelen kutusunu tarar ve ardından karışıma kötü amaçlı bir ek ekleyerek konuşmaya devam eder.
konuşmaya devam etmek
Tehdit aktörleri, bilinen bir tarafla bir e-posta zincirini sürdürerek, tespit olasılığını en aza indirmeyi umuyor. Dahası, virüsten koruma çözümlerinden algılamayı daha da önlemek için dahili Exchange sunucularını kullanıyor ve daha güvenilir bir etki alanındaki yerel IP adreslerinden yararlanıyor gibi görünüyorlar.
Ek genellikle, kendisi bir LNK ve bir DLL dosyası içeren bir ISO dosyası içeren bir ZIP arşivi taşır. Hedef “document.lnk” dosyasını çalıştırırsa, DLL, IcedID yükleyici için kurulumu başlatır.
Kampanya başarılı görünüyor, BleeBilgisayar kötü amaçlı yazılımın dağıtımının iddiaya göre “ani” arttığını iddia ediyor.
IcedID, genellikle ikinci aşama kötü amaçlı yazılımları dağıtmak için kullanılan modüler bir bankacılık truva atıdır. Bu nedenle araştırmacılar, tehdit aktörünün büyük olasılıkla bir erişim komisyoncusu olduğuna ve daha sonra bir hedef ağa erişimi karaborsada başka bir tarafa satan bir komisyoncu olduğuna inanıyor.
Kampanyanın tam olarak ne zaman başladığı ve arkasında kimin olduğu kesin olarak söylenemez, ancak Intezer TA551 adlı bir grubun bunu yaklaşık beş ay önce başlattığına inanıyor gibi görünüyor.
TA551’in ulus devletlerle herhangi bir bağlantısı yok gibi görünüyor ve iddiaya göre dünyanın İngilizce, Almanca, İtalyanca ve Japonca konuşulan bölgelerindeki kuruluşları hedef alıyor.
Üzerinden BleeBilgisayar
