Siber Muhbir

Meşru altyapıyı hain amaçlar için kötüye kullanan tehdit aktörlerinin en son evriminde, yeni bulgular, ulus devlet bilgisayar korsanlığı gruplarının kritik altyapıyı hedeflemek için sosyal platformdan yararlanma mücadelesine girdiğini gösteriyor.

Discord, son yıllarda, içerik dağıtım ağını (CDN) kullanarak kötü amaçlı yazılım barındırmak için verimli bir zemin görevi görmenin yanı sıra bilgi hırsızlarının hassas verileri uygulamadan çekmesine izin vererek ve web kancaları aracılığıyla veri hırsızlığını kolaylaştırarak kazançlı bir hedef haline geldi.

Trellix araştırmacıları Ernesto Fernández Provecho ve David Pastor Sanz Pazartesi günü yayınladıkları bir raporda, "Discord'un kullanımı büyük ölçüde herkesin internetten satın alabileceği veya indirebileceği bilgi hırsızları ve kapkaççılarla sınırlıdır" dedi.

Ancak siber güvenlik firması, Ukrayna'nın kritik altyapılarını hedef alan bir eserin kanıtını bulduğunu söylediği için bu durum değişiyor olabilir. Şu anda onu bilinen bir tehdit grubuyla ilişkilendiren bir kanıt yok.

Araştırmacılar, "Discord'un işlevlerinden yararlanan APT kötü amaçlı yazılım kampanyalarının potansiyel olarak ortaya çıkması, tehdit ortamına yeni bir karmaşıklık katmanı getiriyor" dedi.

Örnek, kar amacı gütmeyen dobro.ua kimliğine bürünen bir e-posta iletisi aracılığıyla dağıtılan bir Microsoft OneNote dosyasıdır.

Dosya açıldıktan sonra, alıcıları bubi tuzaklı bir düğmeye tıklayarak bağış yapmaları için kandırmak için Ukraynalı askerlere referanslar içerir ve bu da bir GitHub deposundan başka bir PowerShell komut dosyası indirmek için bir PowerShell komut dosyası ayıklamak ve çalıştırmak üzere tasarlanmış Visual Basic Komut Dosyası'nın (VBS) yürütülmesiyle sonuçlanır.

PowerShell, son aşamada sistem meta verilerini sızdırmak için bir Discord web kancasından yararlanır.

Araştırmacılar, "Nihai yükün tek amacının sistem hakkında bilgi edinmek olması, kampanyanın hala erken bir aşamada olduğunu gösteriyor ve bu da Discord'un [komuta ve kontrol] olarak kullanılmasına uyuyor" dedi.

"Ancak, aktörün gelecekte GitHub deposunda depolanan dosyayı değiştirerek güvenliği ihlal edilmiş sistemlere daha karmaşık bir kötü amaçlı yazılım parçası gönderebileceğini vurgulamak önemlidir."

Trellix'in analizi ayrıca SmokeLoader, PrivateLoader ve GuLoader gibi yükleyicilerin, RedLine, Vidar, Agent Tesla ve Umbral gibi hırsızlar da dahil olmak üzere bir sonraki aşama yükünü indirmek için Discord'un CDN'sini kullanan en yaygın kötü amaçlı yazılım aileleri arasında olduğunu ortaya koydu.

Bunun da ötesinde, Discord web kancalarını kullandığı gözlemlenen yaygın kötü amaçlı yazılım ailelerinden bazıları Mercurial Grabber, Stealerium, Typhon Stealer ve Venom RAT'tır.

Araştırmacılar, "Discord'un CDN'sinin ek kötü amaçlı yazılım yükleri için bir dağıtım mekanizması olarak kötüye kullanılması, siber suçluların kendi kazançları için işbirlikçi uygulamalardan yararlanma konusundaki uyarlanabilirliğini gösteriyor" dedi.

"APT'ler sofistike ve hedefli saldırılarıyla tanınırlar ve Discord gibi yaygın olarak kullanılan iletişim platformlarına sızarak, ağlar içinde verimli bir şekilde uzun vadeli dayanaklar oluşturarak kritik altyapıyı ve hassas verileri riske atabilirler."