Kötü Amaçlı 'SNS Gönderen' Betiği, Toplu Smishing Saldırıları için AWS'yi Kötüye Kullanıyor
SNS Sender olarak bilinen kötü amaçlı bir Python betiği, tehdit aktörlerinin Amazon Web Services (AWS) Basit Bildirim Hizmeti'ni (SNS) kötüye kullanarak toplu smishing mesajları göndermesinin bir yolu olarak tanıtılıyor.
SMS kimlik avı mesajları, kurbanların kişisel olarak tanımlanabilir bilgilerini (PII) ve ödeme kartı ayrıntılarını ele geçirmek için tasarlanmış kötü amaçlı bağlantıları yaymak için tasarlandı, SentinelOne yeni bir raporda, bunu ARDUINO_DAS adlı bir tehdit aktörüne atfetti.
Güvenlik araştırmacısı Alex Delamotte, "Smishing dolandırıcılıkları genellikle Amerika Birleşik Devletleri Posta Servisi'nden (USPS) kaçırılan bir paket teslimatıyla ilgili bir mesaj kisvesi alıyor" dedi.
SNS Sender ayrıca, SMS spam saldırıları gerçekleştirmek için AWS SNS'den yararlanan ve vahşi ortamda gözlemlenen ilk araçtır. SentinelOne, ARDUINO_DAS ve satışa sunulan 150'den fazla kimlik avı kiti arasındaki bağlantıları tespit ettiğini söyledi.
Kötü amaçlı yazılım, AWS erişim anahtarlarının listesine, hedeflenecek telefon numaralarına, gönderen kimliğine (diğer bir deyişle görünen ad) ve mesajın içeriğine ek olarak çalışma dizininde links.txt adlı bir dosyada depolanan kimlik avı bağlantılarının bir listesini gerektirir.
Dolandırıcılık metinlerini göndermek için gönderen kimliğinin zorunlu olarak dahil edilmesi dikkat çekicidir, çünkü gönderen kimlikleri için destek ülkeden ülkeye değişir. Bu, SNS Sender'ın yazarının büyük olasılıkla gönderen kimliğinin geleneksel bir uygulama olduğu bir ülkeden olduğunu göstermektedir.
Amazon, belgelerinde "Örneğin, Amerika Birleşik Devletleri'ndeki taşıyıcılar gönderen kimliklerini hiç desteklemiyor, ancak Hindistan'daki taşıyıcılar gönderenlerin gönderen kimliklerini kullanmasını gerektiriyor" diyor.
Bu operasyonun en az Temmuz 2022'den beri aktif olabileceğini gösteren kanıtlar var ve Crax Pro gibi taraklama forumlarında paylaşılan ARDUINO_DAS referanslar içeren banka günlüklerine bakılıyor.
Eylül 2022'nin başlarında X'te (eski adıyla Twitter) güvenlik araştırmacısı @JCyberSec_ tarafından kanıtlandığı gibi, kimlik avı kitlerinin büyük çoğunluğu USPS temalıdır ve kampanyalar, kullanıcıları kişisel ve kredi/banka kartı bilgilerini girmelerini isteyen sahte paket izleme sayfalarına yönlendirmektedir.
Araştırmacı ayrıca, "Konuşlandırılan aktörün tüm kitlerin günlükleri başka bir yere gönderen gizli bir arka kapısı olduğunu bildiğini düşünüyor musunuz?" dedi.
Gelişme, emtia tehdidi aktörlerinin smishing kampanyaları için bulut ortamlarından yararlanmaya yönelik devam eden girişimlerini temsil ediyor. Nisan 2023'te Permiso, AWS sunucularına sızmak ve SNS kullanarak SMS mesajları göndermek için daha önce kullanıma sunulan AWS erişim anahtarlarından yararlanan bir etkinlik kümesini ortaya çıkardı.
Bulgular ayrıca, muhtemelen tehdit aktörlerine bir hizmet olarak satılan ve 2023 boyunca Windows kullanıcılarını hedef alan çok çeşitli bilgi hırsızlarını ve uzaktan erişim truva atlarını (RAT'ler) yaymak için kullanıldığı gözlemlenen TicTacToe kod adlı yeni bir damlalığın keşfini de takip ediyor.
Kötü amaçlı yazılıma ışık tutan Fortinet FortiGuard Labs, e-posta mesajlarına gömülü bir ISO dosyasıyla başlayan dört aşamalı bir enfeksiyon zinciri aracılığıyla dağıtıldığını söyledi.
Tehdit aktörlerinin taktiklerini sürekli olarak yenilemesinin bir başka ilgili örneği, etkili spam kampanyaları düzenlemek ve DarkGate gibi kötü amaçlı yazılımları dağıtmak için reklam ağlarının kullanılmasıyla ilgilidir.
HP Wolf Security, "Tehdit aktörü, tespit edilmekten kaçınmak ve kurbanları hakkında analizler yakalamak için bir reklam ağı aracılığıyla bağlantıları proxy'ledi" dedi. "Kampanyalar, OneDrive hata mesajları gibi görünen kötü amaçlı PDF ekleri aracılığıyla başlatıldı ve kötü amaçlı yazılıma yol açtı."
PC üreticisinin bilgi güvenliği kolu, son yıllarda giderek daha yaygın hale gelen ve şirketin geçen yılın sonuna kadar geçici dosya bağlantılarına geçmesine neden olan bir eğilim olan kötü amaçlı yazılımları sahnelemek ve dağıtmak için Discord gibi meşru platformların kötüye kullanıldığını da vurguladı.
Intel 471, "Discord, sağlam ve güvenilir altyapısıyla tanınır ve yaygın olarak güvenilirdir" dedi. "Kuruluşlar genellikle Discord'a izin verilenler listesine alır, bu da bağlantıların ve bağlantıların kısıtlanmadığı anlamına gelir. Bu, itibarı ve yaygın kullanımı göz önüne alındığında tehdit aktörleri arasındaki popülaritesini şaşırtıcı kılmıyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı