Python yükleri ve TryCloudflare tünellerini kullanarak Asyncrat adlı bir uzaktan erişim Truva atı (sıçan) teslim ettiği bir kötü amaçlı yazılım kampanyası gözlendi.
“Asyncrat, verimli, asenkron iletişim için async/bekleyen desenden yararlanan uzaktan erişim Truva atı (sıçan),” Forcepoint X-Labs araştırmacısı Jyotika Singh söz konusu bir analizde.
“Saldırganların enfekte olmuş sistemleri gizli bir şekilde kontrol etmesine, verileri dışarı atmasına ve gizli kalırken komutları yürütmesine izin veriyor – bu da önemli bir siber tel.”
Çok aşamalı saldırı zincirinin başlangıç noktası, tıkladıktan sonra bir fermuar arşivi indiren bir Dropbox URL’si içeren bir kimlik avı e-postasıdır.
Dosya içinde, enfeksiyonu daha da ileri götürmekten sorumlu bir Windows kısayolu (LNK) dosyası için bir kanal görevi gören bir İnternet kısayolu (URL) dosyası bulunurken, mesaj alıcısına görünüşte iyi huylu bir tuzak PDF belgesi görüntülenir.
Özellikle, LNK dosyası URL dosyasına gömülü bir TryCloudFlare URL aracılığıyla alınır. Trycloudflare bir meşru hizmet Cloudflare tarafından, özel bir kanal oluşturarak herhangi bir bağlantı noktası açmadan web sunucularını internete maruz bıraktığı için sunuldu (yani, TrycloudFlare’de bir alt alann[.]com) sunucuya trafiği vekiller.
LNK dosyası, PowerShell’i aynı yerde barındırılan bir JavaScript kodu yürütmesini tetikler, bu da başka bir Zip Arşivi indirebilen bir toplu komut dosyasına (BAT) yol açar. Yeni indirilen ZIP dosyası, Asyncrat, Venom Rat ve Xworm.
Hafif bir varyasyon Aynı enfeksiyon dizisinden geçen yıl Asyncrat, Guloader, Purelogs Stealer, Remcos Rat, Venom Rat ve Xworm’u yayarak keşfedildi. Benzer bir saldırı, şu anda paketlenmiş bir Windows Web’in (MOTW) baypas güvenlik açığı olan CVE-2024-38213’ten yararlanan benzer bir saldırı da belgelenmiş Kasım 2024’te Kanada Siber Güvenlik Şirketi Field Effect tarafından.
Singh, “Bu Asyncrat kampanyası, bilgisayar korsanlarının Dropbox URL’leri ve TryCloudFlare gibi meşru altyapıları kendi yararlarına nasıl kullanabileceğini tekrar gösterdi.” “Yükler Dropbox URL’leri ve geçici TryCloudflare tüneli altyapısı aracılığıyla indirilir, böylece alıcıları meşruiyetlerine inanmaya kandırır.”
Gelişme, Kimlik avı kampanyalarında dalgalanma Kullanıcıları Microsoft, Google, Apple ve Github gibi güvenilir platformların oturum açma sayfalarını taklit eden sahte açılış sayfalarına yönlendirerek Hizmet Olarak Kimlik Yardım (PHAAS) araç setlerini kullanmak.
E -postalar yoluyla yapılan sosyal mühendislik saldırıları da gözlemlenen Tehdit aktörlerinin birbirine bağlı tedarik zincirinden ve e -posta kimlik doğrulama mekanizmalarını atlamak için doğal güvenden yararlandığını gösteren bir gösterge olan kullanıcıların Microsoft 365 oturum açma kimlik bilgilerini hasat etmek için tehlikeye atılmış satıcı hesaplarından yararlanmak.
Son haftalarda yakın zamanda belgelenen diğer kimlik avı kampanyalarından bazıları aşağıda –
- Saldırı Latin Amerika’daki organizasyonları hedeflemek Sapphirerat’ı dağıtmak ve yürütmek için resmi yasal belgeleri ve makbuzları kullanan
- Saldırı Meşru alanlardan yararlanmakMicrosoft 365 kimlik bilgisi hasat sayfalarına ev sahipliği yapmak için hükümet web sitelerine (“.gov”) ait olanlar dahil
- Saldırı Vergi ajanslarının ve ilgili finansal kuruluşların taklit edilmesi Avustralya, İsviçre, İngiltere ve ABD’deki kullanıcıları hedeflemek için kullanıcı kimlik bilgilerini yakalamak, hileli ödemeler yapmak ve Asyncrat, Metastealer, Venom Rat, Xworm gibi kötü amaçlı yazılımları dağıtmak için
- Saldırılar kaldırma Sahtekarlık Microsoft Active Directory Federasyon Hizmetleri (ADFS) Oturum Açma Sayfaları, Finansal Olarak Motive Edilen E-posta Saldırıları için Kimlik Bilgileri ve Çok Faktörlü Kimlik Doğrulama (MFA) Kodlarını toplamak için
- İstihdam eden saldırılar Cloudflare çalışanları (Workers.dev) Çeşitli çevrimiçi hizmetleri taklit eden genel kimlik bilgisi hasat sayfalarını barındıracak
- Saldırı Alman organizasyonlarını hedeflemek İş sözleşmeleri kisvesi altındaki şerit implantı ile
- Saldırılar faydalanmak Kimlik avı e-postalarında bazı URL güvenlik kontrollerini atlamak için sıfır genişlikte marangoz ve yumuşak tire (diğer adıyla utangaç) karakterler
- Saldırılar Booby Tapınık URL’leri dağıtın Scareware, potansiyel olarak istenmeyen programlar (yavrular) ve diğer aldatmaca sayfaları sunan bir kampanyanın bir parçası olarak Apatweb
CloudSek tarafından yapılan son araştırmalar, kimlik avı saldırılarını ve yatırım dolandırıcılıklarını kolaylaştırmak için Zendesk’in altyapısını kullanmanın mümkün olduğunu gösterdi.
“Zendesk, bir kullanıcının SaaS platformlarının ücretsiz denemesine kaydolmasına izin vererek, bir hedef taklit etmek için kötüye kullanılabilecek bir alt alan adının kaydedilmesine izin veriyor,” söz konusuSaldırganlar eklemek daha sonra bu alt alanları, hedeflerin e -posta adreslerini Zendesk portalına “kullanıcı” olarak ekleyerek kimlik avı e -postaları sunmak için kullanabilir.
“Zendesk, kullanıcıları davet etmek için e -posta kontrolleri yapmaz. Bu, herhangi bir rastgele hesap üye olarak eklenebilir. E -posta adresine atanan bilet kisvesiyle kimlik avı sayfaları gönderilebilir.”
