GreedyBear olarak bilinen sofistike bir siber suçlu operasyonu, bugüne kadarki en kapsamlı kripto para hırsızlığı kampanyalarından birini düzenledi ve çok sayıda saldırı vektörüne 650’den fazla kötü amaçlı araç kullandı ve şüphesiz kurbanlardan 1 milyon dolardan fazla çaldı.
Tipik olarak tek saldırı yöntemlerinde uzmanlaşmış geleneksel tehdit gruplarının aksine, GreedyBear endüstriyel ölçekli bir yaklaşım benimsedi, aynı anda kötü amaçlı tarayıcı uzantıları kullandı, yüzlerce kötü amaçlı yazılım yürütülebilir dosyaları dağıttı ve ayrıntılı kimlik avı altyapısını sürdürdü.
Kampanya, 150’den fazla silahlandırılmış Firefox uzantısı, yaklaşık 500 kötü niyetli pencere yürütülebilir ürünler ve meşru kripto para hizmetleri olarak maskelenen düzinelerce hileli web sitesini kullanarak siber suçlu operasyonlarda önemli bir yükselmeyi temsil ediyor.
.webp)
Tüm saldırı bileşenleri merkezi bir komut ve kontrol altyapısında birleşir ve alan adları IP adresine 185.208.156.66’ya karar verir ve birden fazla tehdit vektöründe aerodinamik koordinasyon sağlar.
Greedybear’ı geleneksel siber suçlu operasyonlardan ayıran şey, yapay zeka kullanarak saldırıları ölçeklendirmeye yönelik sistematik yaklaşımıdır.
Kampanyanın kodunun analizi, AI tarafından üretilen artefaktların açık imzalarını ortaya çıkarır ve saldırganların geleneksel algılama mekanizmalarından kaçarken hızla çeşitli yükler üretmesine izin verir.
KOI güvenlik araştırmacıları, bu evrimi, siber suçluların saldırı geliştirme ve dağıtımını hızlandırmak için ileri AI araçlarından yararlandığı daha geniş bir eğilimin bir parçası olarak tanımladılar.
Tehdit grubunun tarayıcı uzatma stratejisi, pazar güvenlik kontrollerini atlatmak için “uzatma oyuk” olarak adlandırılan sofistike bir teknik kullanır.
Operatörler, ilk incelemeleri geçmiş incelemelerden geçerek kötü niyetli uzantılara gizlice girmeye çalışmak yerine, önce bağlantı sanitizatörleri ve YouTube indiricileri gibi zararsız yardımcı programları yükleyerek meşru yayıncı profilleri oluştururlar.
Olumlu incelemeler ve kullanıcı güveni biriktirdikten sonra, bu uzantıları sistematik olarak “oyuyorlar”, bu da yerleşik itibarı korurken meşru işlevselliği kimlik bilgisi hasat koduyla değiştirirler.
Gelişmiş kimlik bilgisi hasat mekanizmaları
Silahlı uzantılar, kimlik bilgisi çıkarma yeteneklerinde dikkate değer teknik karmaşıklık göstermektedir.
.webp)
Her kötü niyetli uzantı, otantik arayüzlerini tam olarak taklit ederek Metamask, Tronlink, Çıkış ve Rabby Cüzdan dahil popüler kripto para cüzdanlarını hedefler.
Kötü amaçlı yazılım, cüzdan kimlik bilgilerini doğrudan uzantının açılır arayüzündeki kullanıcı giriş alanlarından yakalar ve meşru doğrulama işlemlerine ulaşmadan önce form gönderimlerini kesen JavaScript işlevlerini kullanır.
.webp)
Başlatma sırasında, uzantılar ek gözetim işlevleri yürütür ve mağdurların harici IP adreslerini izleme ve potansiyel hedefleme amaçları için uzak sunuculara iletir.
Bu veri toplama, operatörlerin dağıtılmış altyapı yoluyla operasyonel güvenliği korurken kapsamlı mağdur profilleri oluşturmalarını sağlar.
Kod snippet’leri, tüm uzantılarda standartlaştırılmış kimlik bilgisi eksfiltrasyon rutinlerini ortaya çıkarır, bu da saldırı yürütmede tutarlılığı korurken kötü amaçlı işlemlerin hızlı bir şekilde ölçeklendirilmesini sağlayan merkezi geliştirme ve dağıtım protokollerini gösterir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın