Araştırmacılar, kurbanları kötü amaçlı bağlantılara tıklamaları için kandırmak amacıyla sahte satın alma siparişleri içeren kimlik avı e-postaları kullanan ABD ve Avustralya kuruluşlarını hedef alan yakın tarihli bir Agent Tesla kötü amaçlı yazılım kampanyasını araştırdı.
Tıklandığında, Cassandra Protector tarafından korunan, gizlenmiş bir Ajan Tesla örneği indirildi ve yürütüldü; tuş vuruşları ve oturum açma kimlik bilgileri çalındı.
Soruşturmada, RDP bağlantıları ve kötü amaçlı yazılım kampanyaları için büyük bir e-posta veritabanı ve birden fazla sunucu kullanan Bignosa (ana tehdit) ve Gods adında iki siber suçlu tespit edildi.
Kötü amaçlı yazılım kampanyası, kötü amaçlı spam dağıtmadan önce çok adımlı bir hazırlık aşamasını içeriyordu.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Kötü Amaçlı Yazılım Kampanyası:
Tehdit aktörü “Bignosa”, Cassandra Protector tarafından korunan, gizlenmiş bir Ajan Tesla eki (PDF.IMG) içeren kimlik avı e-postalarını kullanarak Avustralya ve ABD kuruluşlarını hedef alan iki kötü amaçlı yazılım kampanyası başlattı.
“Bignosa”, Plesk ve RoundCube’u yükleyerek, SSH ve RDP aracılığıyla bağlanarak sunucuların güvenliğini tehlikeye attı. 7 Kasım’daki ilk kampanya, Kenya SSH bağlantısına (41.90.185.44) sahip bir sunucudan (172.81.60.206) kaynaklandı.
29 ve 30 Kasım’daki ikinci kampanya, Bulgar RDP bağlantısına (91.215.152.7) sahip farklı bir sunucu (192.236.236.35) kullandı; çünkü her iki kampanya da yeni oluşturulan web posta hesaplarından e-postalar gönderdi ve saldırı yöntemleri, sunucu adresleri dışında aynıydı.
Kötü niyetli bir aktör olan Bignosa, spam e-postalar yoluyla kötü amaçlı yazılım dağıtmak için kodu gizleyen ve ISO olarak gizlenen yürütülebilir dosyalar oluşturan bir araç olan Cassandra Protector’u kullandı.
Cassandra Protector, kötü amaçlı yazılımın güvenlik önlemlerini atlayıp hedef makinede tespit edilmeden kalmasını sağlamak için Bignosa tarafından kullanılan kalıcılık, anti-virüsten kaçınma ve özelleştirilebilirlik gibi işlevler sunar.
Check Point raporuna göre Bignosa, Ajan Tesla’yı kullanıp phishing saldırıları gerçekleştirirken, Gods da Bignosa’ya mentorluk yaptı ve geçmişte de phishing saldırıları gerçekleştirdi.
Jabber ve TeamViewer aracılığıyla iletişim kurarken Bignosa, bir VDS sunucusuna bağlanmak ve Ajan Tesla’yı dağıtmak için RDP’yi kullandı.
Tanrılar, unlimi e-posta adresine bağlı “8 Letter Tech” adlı bir YouTube kanalını kullandı.[email protected] Bu aynı zamanda Tanrıların Tehdidi aktörü tarafından da kullanıldı.
Tehdit aktörleri bir VDS hesabı aracılığıyla “Bignosa” ve “Tanrılar”a bağlanmıştı ve “Bignosa”nın Mart 2023’ten bu yana kimlik avı saldırıları için VDS’yi kullandığı, “Tanrılar”ın ise DynuDNS hizmeti için aynı IP’yi kullandığı bir IP adresini paylaşıyorlardı. e-postasına bağlı.
Sosyal medya analizi, meşru web tasarımına bağlı “Tamegurus” ve Türk üniversite bağları aracılığıyla “Tanrılar”ı ortaya çıkardı. Sosyal medyadaki “8 Letter Studio”, “Tamegurus” ve “Tanrılar”ı daha da birbirine bağladı ve ikincisinin gerçek adının Kingsley Fredrick olduğu keşfedildi.
Aralık 2023-Ocak 2024’te “GODINHO” takma adı altında “Tanrılar” tarafından gerçekleştirilen yeni bir kimlik avı kampanyası tespit edildi ve bu kampanya, siber suçluların meşru işleri yasa dışı faaliyetlerle nasıl birleştirebileceğini vurguladı.
E-postalarınızı anında güvenceye alın! İdeal e-posta güvenliği satıcınızı bulmak için 30 saniyelik Ücretsiz Değerlendirmeye katılın.