Fatura Kimlik Avı Uyarısı: TA866, WasabiSeed ve Screenshotter Kötü Amaçlı Yazılımını Dağıtıyor

Bu ayın başlarında gözlemlenen ve 11 Ocak 2024'te Proofpoint tarafından engellenen kampanya, Kuzey Amerika'yı hedef alan ve sahte PDF dosyaları taşıyan binlerce fatura temalı e-posta göndermeyi içeriyordu.

Kurumsal güvenlik firması, "PDF'ler, tıklandığında çok adımlı bir enfeksiyon zinciri başlatan ve sonunda WasabiSeed ve Screenshotter özel araç setinin bir çeşidi olan kötü amaçlı yazılım yüküne yol açan OneDrive URL'leri içeriyordu" dedi.

TA866, şirket tarafından ilk olarak Şubat 2023'te belgelendi ve bunu, kurbanın masaüstünün ekran görüntülerini düzenli aralıklarla alabilen ve bu verileri aktör tarafından kontrol edilen bir etki alanına aktarabilen Screenshotter'ı indirmek için kullanılan bir Visual Basic komut dosyası damlalığı olan WasabiSeed'i dağıtan Screentime adlı bir kampanyaya atfedildi.

Screenshotter'ın sömürü sonrası için yüksek değerli hedefleri belirlemek için bir keşif aracı olarak hareket etmesi ve nihayetinde Rhadamanthys bilgi hırsızını düşürmek için AutoHotKey (AHK) tabanlı bir bot dağıtması nedeniyle, organize aktörün finansal olarak motive olabileceğini gösteren kanıtlar var.

Slovak siber güvenlik firması ESET'in Haziran 2023'teki müteakip bulguları, Screentime ile en az 2020'den beri aktif olan ve aynı zamanda siber casusluk operasyonları yürüten bir suç yazılımı grubu olan Asylum Ambuscade adlı başka bir izinsiz giriş seti arasındaki örtüşmeleri ortaya çıkardı.

En son saldırı zinciri, makro özellikli Publisher eklerinden sahte bir OneDrive bağlantısı taşıyan PDF'lere geçiş dışında neredeyse hiç değişmeden kalır ve kampanya, bubi tuzaklı PDF'leri dağıtmak için TA571 tarafından sağlanan bir spam hizmetine dayanır.

Proofpoint araştırmacısı Axel F, "TA571 bir spam dağıtıcısıdır ve bu aktör, siber suçlu müşterileri için çeşitli kötü amaçlı yazılımlar sunmak ve yüklemek için yüksek hacimli spam e-posta kampanyaları gönderir" dedi.

Buna AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (diğer adıyla Qbot) ve DarkGate dahildir ve sonuncusu saldırganların bilgi hırsızlığı, kripto para madenciliği ve rastgele programların yürütülmesi gibi çeşitli komutları gerçekleştirmesine olanak tanır.

Güvenliği ihlal edilmiş uç noktalarda DarkGate'i başlatmak için tasarlanmış bir yükleyici dağıtan birden fazla kampanya tespit eden Splunk, kötü amaçlı PDF dosyalarının, AutoIT yükleyici komut dosyası aracılığıyla DarkGate'in yürütülmesini tetiklemek için bir dolap (CAB) arşivi yürüten bir MSI yükleyicisi için bir taşıyıcı görevi gördüğünü söyledi.

Güney Koreli siber güvenlik şirketi S2W, bu hafta kötü amaçlı yazılımın analizinde, "DarkGate ilk olarak 2017'de ortaya çıktı ve yeraltı forumları aracılığıyla Hizmet Olarak Kötü Amaçlı Yazılım biçiminde yalnızca az sayıda saldırı grubuna satılıyor" dedi.

"DarkGate, güvenlik araştırmacılarından ve satıcılarından gelen analiz sonuçlarına dayalı olarak özellikler ekleyerek ve hataları düzelterek güncellemeye devam ediyor" diyerek, saldırganların algılamayı atlamak için anti-analiz tekniklerini uygulamak için devam eden çabalarını vurguladı.

TA866'nın yeniden canlandığına dair haberler, Cofense'in nakliyeyle ilgili kimlik avı e-postalarının öncelikle Agent Tesla ve Formbook gibi kötü amaçlı yazılımları yaymak için üretim sektörünü ayırdığını ortaya çıkarmasıyla geldi.

Cofense güvenlik araştırmacısı Nathaniel Raymond, "Nakliye temalı e-postalar, tatil sezonlarında çok az da olsa artıyor" dedi.

"Çoğunlukla, yıllık eğilimler, bu e-postaların yıl boyunca değişen derecelerde hacimlerle belirli bir eğilimi takip ettiğini ve en önemli hacimlerin Haziran, Ekim ve Kasım aylarında olduğunu gösteriyor."

Gelişme ayrıca, hedeflenen kişiye gönderilen kimlik avı mesajına güvenilir bir web sitesine işaret eden bir Harekete Geçirici Mesaj (CTA) URL'si ekleyerek bunları aşmak için güvenlik ürünlerinin önbelleğe alma mekanizmasından yararlanan yeni bir kaçınma taktiğinin keşfini de takip ediyor.

Trellix, "Stratejileri, saldırı vektörünün görünüşte iyi huylu bir versiyonunu önbelleğe almayı ve ardından kötü niyetli bir yük sunmak için onu değiştirmeyi içeriyor" dedi ve bu tür saldırıların orantısız bir şekilde İtalya, ABD, Fransa, Avustralya ve Hindistan'daki finansal hizmetler, üretim, perakende ve sigorta sektörlerini hedef aldığını belirtti.

Böyle bir URL güvenlik motoru tarafından tarandığında, güvenli olarak işaretlenir ve karar belirli bir süre önbelleğinde saklanır. Bu, bu süre içinde URL ile tekrar karşılaşılırsa, URL'nin yeniden işlenmediği ve bunun yerine önbelleğe alınan sonucun sunulduğu anlamına gelir.

Trellix, saldırganların, güvenlik sağlayıcılarının CTA URL'sini işlemesini ve kararlarını önbelleğe almasını bekleyerek ve ardından bağlantıyı amaçlanan kimlik avı sayfasına yönlendirmek için değiştirerek bu tuhaflıktan yararlandığına dikkat çekti.

Güvenlik araştırmacıları Sushant Kumar Arya, Daksh Kapur ve Rohan Shah, "Kararın iyi huylu olmasıyla, e-posta kurbanın gelen kutusuna sorunsuz bir şekilde düşüyor" dedi. "Şimdi, şüphelenmeyen alıcı e-postayı açmaya ve CTA URL'sindeki bağlantıya/düğmeye tıklamaya karar verirse, kötü amaçlı sayfaya yönlendirilecektir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği