RedLine ve Vidar bilgi hırsızlarının arkasındaki tehdit aktörlerinin, Genişletilmiş Doğrulama ile imzalanan ilk verileri yayan kimlik avı kampanyaları yoluyla fidye yazılımlarına yöneldiği gözlemlendi (EV) kod imzalama sertifikaları.
Trend Micro araştırmacıları “Bu, tehdit aktörlerinin tekniklerini çok amaçlı hale getirerek operasyonlarını kolaylaştırdıklarını gösteriyor.” söz konusu Bu hafta yayınlanan yeni bir analizde.
Siber güvenlik şirketi tarafından araştırılan olayda, adı açıklanmayan bir kurbanın önce EV kod imzalama sertifikalarına sahip bir bilgi hırsızı kötü amaçlı yazılım, ardından aynı dağıtım tekniğini kullanan fidye yazılımı aldığı söyleniyor.
Geçmişte QakBot enfeksiyonları, geçerli kod imzalama sertifikalarıyla imzalanmış örnekler güvenlik korumalarını atlamak için.
Saldırılar, kurbanları PDF veya JPG görüntüleri gibi görünen, ancak aslında çalıştırıldıktan sonra tehlikeye atmayı başlatan yürütülebilir dosyalar olan kötü amaçlı ekler çalıştırmaları için kandırmak amacıyla alışılmış tuzaklar kullanan kimlik avı e-postalarıyla başlar.
Kurbanı hedef alan kampanya Temmuz ayında hırsızlığa yönelik kötü amaçlı yazılım dağıtırken, ağustos ayının başında sahte bir TripAdvisor şikayet e-posta eki (“TripAdvisor-Complaint.pdf.htm”) içeren bir e-posta mesajı aldıktan sonra bir fidye yazılımı yükü ortaya çıktı ve bir dizi adımı tetikledi. bu da fidye yazılımının yayılmasıyla sonuçlandı.
Araştırmacılar, “Bu noktada, araştırdığımız bilgi hırsızı örneklerinden farklı olarak, fidye yazılımı yükünü düşürmek için kullanılan dosyaların EV sertifikalarına sahip olmadığını belirtmekte fayda var” dedi.
“Ancak ikisi de aynı tehdit aktöründen geliyor ve aynı dağıtım yöntemini kullanarak yayılıyor. Bu nedenle yük sağlayıcı ile operatörler arasında bir iş bölümü olduğunu varsayabiliriz.”
Bu gelişme, IBM X-Force’un, bu yılın başlarında FormBook ve Remcos RAR’ı dağıtmak için bir kanal olarak kullanılan DBatLoader adlı kötü amaçlı yazılım yükleyicisinin geliştirilmiş bir sürümünü yayan yeni kimlik avı kampanyalarını keşfetmesiyle ortaya çıktı.
DBatLoader’ın yeni yetenekleri, UAC bypass’ını, kalıcılığını ve süreç enjeksiyonunu kolaylaştırıyor; bu da, hassas bilgileri toplayabilen ve sistemlerin uzaktan kontrolünü mümkün kılan kötü amaçlı programların devre dışı bırakılmasının aktif olarak sürdürüldüğünü gösteriyor.
Haziran sonundan bu yana tespit edilen son saldırılar, aynı zamanda Agent Tesla ve Warzone RAT gibi ticari amaçlı kötü amaçlı yazılımları da dağıtacak şekilde tasarlandı. E-posta mesajlarının çoğunda İngilizce konuşanlar seçilmiş olsa da İspanyolca ve Türkçe e-postalar da tespit edildi.
Şirket, “Gözlemlenen çeşitli kampanyalarda tehdit aktörleri, kötü amaçlı e-postaların SPF, DKIM ve DMARC e-posta kimlik doğrulama yöntemlerini geçmesini sağlamak için e-posta altyapısı üzerinde yeterli kontrolü kullandı.” söz konusu.
“Kampanyaların çoğunluğu ek yükleri hazırlamak ve almak için OneDrive’dan yararlandı; küçük bir kısmı ise aktarımdan yararlandı[.]sh veya yeni/güvenliği ihlal edilmiş alan adları.”
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
İlgili bir haberde Malwarebytes, yeni bir kötü amaçlı reklam kampanyasının, Google gibi arama motorlarında Cisco’nun Webex video konferans yazılımını arayan kullanıcıları BATLOADER kötü amaçlı yazılımını yayan sahte bir web sitesine yönlendirmek için hedef aldığını ortaya çıkardı.
BATLOADER, DanaBot olarak adlandırılan başka bir bilinen hırsız ve keylogger kötü amaçlı yazılımı olan ikinci aşama şifrelenmiş veriyi indirmek için uzak bir sunucuyla bağlantı kurar.
Tehdit aktörünün benimsediği yeni bir teknik, şablon URL’lerini izleme Parmak izini almak ve ilgilenilen potansiyel kurbanları belirlemek için bir filtreleme ve yönlendirme mekanizması olarak. Kriterleri karşılamayan ziyaretçiler (ör. korumalı alan ortamından kaynaklanan istekler) meşru Webex sitesine yönlendirilir.
Malwarebytes Tehdit İstihbaratı Direktörü Jérôme Segura, “Reklamlar çok meşru göründüğü için insanların bunlara tıklayıp güvenli olmayan siteleri ziyaret edeceğine dair çok az şüphe var” dedi. söz konusu.
“Bu reklamlarda kullanılan yazılımın türü, tehdit aktörlerinin, daha fazla ağ ‘sızma testi’ ve bazı durumlarda fidye yazılımı dağıtımı için kendilerine yararlı kimlik bilgileri sağlayacak kurumsal kurbanlarla ilgilendiğini gösteriyor.”
