Siber Muhbir

Her ikisi de kötü amaçlı yazılım yükleyici olan Bumblebee ve Latrodectus, güvenliği ihlal edilmiş ana bilgisayarlara ek yükler indirmenin ve yürütmenin yanı sıra kişisel verileri çalmak için tasarlanmıştır.

BlackWidow, IceNova, Lotus veya Unidentified 111 adları altında izlenen Latrodectus, iki kötü amaçlı yazılım ailesi arasındaki altyapı çakışmaları nedeniyle IcedID'nin halefi olarak kabul edilir. TA577 (diğer adıyla Water Curupira) ve TA578 olarak bilinen iki ilk erişim aracısı (IAB) ile ilişkili kampanyalarda kullanılmıştır.

Mayıs 2024'te Avrupa ülkelerinden oluşan bir koalisyon, IcedID (ve buna bağlı olarak Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee ve TrickBot gibi çeşitli kötü amaçlı yazılım türleriyle bağlantılı 100'den fazla sunucuyu dağıttığını söyledi.

Bitsight güvenlik araştırmacısı João Batista, Haziran 2024'te "Operasyonda Latrodectus'tan bahsedilmese de, o da etkilendi ve altyapısı devre dışı kaldı" dedi.

Siber güvenlik firması Trustwave, bu ayın başlarında yayınlanan bir analizde, Latrodectus'u Endgame Operasyonu'nun ardından destek alan "belirgin bir tehdit" olarak nitelendirdi.

"Başlangıçta etkilenirken, Latrodectus hızla toparlandı. Siber güvenlik şirketi, gelişmiş yetenekleri, engelli meslektaşlarının bıraktığı boşluğu doldurdu ve kendisini zorlu bir tehdit olarak kabul ettirdi" dedi.

Saldırı zincirleri genellikle kötü amaçlı spam kampanyalarından yararlanır, ele geçirilen e-posta dizilerinden yararlanır ve kötü amaçlı yazılım dağıtım sürecini etkinleştirmek için Microsoft Azure ve Google Cloud gibi meşru varlıkların kimliğine bürünür.

Forcepoint ve Logpoint tarafından yeni gözlemlenen enfeksiyon dizisi, DocuSign temalı e-posta mesajlarının kötü amaçlı bir bağlantı içeren PDF ekleri veya sırasıyla bir MSI yükleyicisi ve bir PowerShell komut dosyası indirmek için tasarlanmış gömülü JavaScript kodu içeren HTML dosyaları ile aynı rotayı izliyor.

Kullanılan yöntemden bağımsız olarak, saldırı, kötü amaçlı bir DLL dosyasının dağıtılmasıyla sonuçlanır ve bu da Latrodectus kötü amaçlı yazılımını başlatır.

Forcepoint araştırmacısı Mayur Sewani, "Latrodectus, finans, otomotiv ve iş sektörlerine yönelik yeni, yenilikçi bir kötü amaçlı yazılım yükü dağıtım yöntemiyle birlikte eski altyapıdan yararlanıyor" dedi.

Devam eden Latrodectus kampanyaları, bir dağıtım mekanizması olarak muhtemelen kimlik avı e-postaları yoluyla indirilen bir ZIP arşiv dosyası kullanan Bumblebee yükleyicisinin geri dönüşüyle örtüşüyor.

Netskope araştırmacısı Leandro Fróes, "ZIP dosyası, bir kez yürütüldüğünde, DLL'yi diske yazma ihtiyacını ortadan kaldırarak, bellekteki son Bumblebee yükünü indirmek ve yürütmek için bir olaylar zinciri başlatan 'Report-41952.lnk' adlı bir LNK dosyası içeriyor" dedi.

LNK dosyası, uzak bir sunucudan bir MSI yükleyicisi indirmek için bir PowerShell komutu yürütmek üzere tasarlanmıştır. Bir kez başlatıldığında, NVIDIA ve Midjourney'den yükleyiciler gibi görünen MSI örnekleri, Bumblebee DLL'yi başlatmak için bir kanal görevi görür.

Fróes, "Bumblebee, diğer işlemlerin oluşturulmasını önlemek için daha gizli bir yaklaşım kullanıyor ve son yükü diske yazmaktan kaçınıyor" dedi.

"Bunu, File tablosundaki bir dosyada bulunan DllRegisterServer dışa aktarma işlevinin yürütülmesini zorlamak için SelfReg tablosunu kullanarak yapar. SelfReg tablosundaki giriş, Dosya tablosunda hangi dosyanın yürütüleceğini belirtmek için bir anahtar görevi görür ve bizim durumumuzda bu, son yük DLL'siydi."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.