Siber Muhbir

Şirket, "Saldırı, CrowdStrike işe alımını taklit eden ve alıcıları kötü amaçlı bir web sitesine yönlendiren bir kimlik avı e-postasıyla başlıyor" dedi. "Kurbanlardan, kripto madencisi XMRig için indirici görevi gören sahte bir uygulamayı indirmeleri ve çalıştırmaları isteniyor."

Teksas merkezli şirket, kötü amaçlı kampanyayı 7 Ocak 2025'te keşfettiğini ve "CrowdStrike ile sahte iş teklifleri içeren dolandırıcılıkların farkında olduğunu" söyledi.

Kimlik avı e-postası, bir junior geliştirici rolü için işe alım sürecinin bir sonraki aşaması için kısa listeye alındıklarını ve katıştırılmış bağlantıda sağlanan bir müşteri ilişkileri yönetimi (CRM) aracını indirerek işe alım ekibiyle bir görüşmeye katılmaları gerektiğini iddia ederek alıcıları cezbeder.

İndirilen ikili dosya, bir kez başlatıldıktan sonra, sonraki aşama yüklerini getirmeden önce algılama ve analizden kaçınmak için bir dizi kontrol gerçekleştirir.

Bu kontroller, bir hata ayıklayıcının varlığının tespit edilmesini ve kötü amaçlı yazılım analizi veya sanallaştırma yazılım araçları için çalışan işlemlerin listesinin taranmasını içerir. Ayrıca sistemin belirli sayıda aktif işleme sahip olmasını ve CPU'nun en az iki çekirdeğe sahip olmasını sağlarlar.

Ana bilgisayar tüm kriterleri karşılıyorsa, XMRig madencisini GitHub'dan ve ilgili yapılandırmasını başka bir sunucudan gizlice indirirken kullanıcıya başarısız bir kurulumla ilgili bir hata mesajı görüntülenir ("93.115.172[.]41") arka planda.

CrowdStrike, "Kötü amaçlı yazılım daha sonra indirilen yapılandırma metin dosyasının içindeki komut satırı argümanlarını kullanarak XMRig madencisini çalıştırıyor" dedi ve yürütülebilir dosyanın, madenciyi başlatmaktan sorumlu olan Başlat Menüsü Başlangıç klasörüne bir Windows toplu komut dosyası ekleyerek makinede kalıcılık sağladığını ekledi.

Sahte LDAPNightmare PoC, Güvenlik Araştırmacılarını Hedefliyor

Gelişme, Trend Micro'nun Microsoft'un Windows Basit Dizin Erişim Protokolü'nde (LDAP) yakın zamanda açıklanan bir güvenlik açığı için sahte bir kavram kanıtı (PoC) – CVE-2024-49113 (diğer adıyla LDAPNightmare) – güvenlik araştırmacılarını bir bilgi hırsızı indirmeye ikna etmek için kullanıldığını ortaya çıkarmasıyla geldi.

Söz konusu kötü amaçlı GitHub deposu – github[.]com/YoonJae-rep/CVE-2024-49113 (şimdi kaldırıldı) – meşru PoC'yi barındıran SafeBreach Labs'ın orijinal deposunun bir çatalı olduğu söyleniyor.

Ancak sahte depo, istismarla ilgili dosyaları, çalıştırıldığında, Base64 kodlu bir komut dosyasını yürütmek için zamanlanmış bir görev oluşturmak üzere bir PowerShell komut dosyası bırakan "poc.exe" adlı bir ikili dosyayla değiştirir. Kodu çözülen komut dosyası daha sonra Pastebin'den başka bir komut dosyası indirmek için kullanılır.

Son aşama kötü amaçlı yazılım, makinenin genel IP adresini, sistem meta verilerini, işlem listesini, dizin listelerini, ağ IP adreslerini, ağ bağdaştırıcılarını ve yüklü güncellemeleri toplayan bir hırsızdır.

Güvenlik araştırmacısı Sarah Pearl Camiling, "PoC yemlerini kötü amaçlı yazılım dağıtımı için bir araç olarak kullanma taktiği yeni olmasa da, bu saldırı, özellikle daha fazla sayıda kurbanı potansiyel olarak etkileyebilecek trend olan bir sorundan yararlandığı için hala önemli endişeler doğuruyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.