.webp "Silahlı IP Tarayıcılarla Altyapı Ekiplerini Hedefleyen Zehirli Google Ads")
Güvenlik araştırmacıları, özellikle güvenlik ve ağ yönetimi görevlerinde bulunan BT profesyonellerini hedef alan karmaşık bir kötü amaçlı reklam kampanyasını ortaya çıkardı.
Bu saldırının arkasındaki tehdit aktörü, popüler IP tarama ve BT yönetimi yazılımlarının truva atı haline getirilmiş sürümlerini dağıtmak için Google Ads’ten yararlanıyor.
Saldırı Zinciri
Saldırı, tehdit aktörünün Gelişmiş IP Tarayıcı, Angry IP Tarayıcı ve PRTG IP Tarayıcı gibi iyi bilinen ağ tarama araçlarını taklit eden birden fazla benzer etki alanını kaydetmesiyle başlar.
Daha sonra bu kötü amaçlı alanları alakalı anahtar kelimeler için arama sonuçlarının en üstüne çıkarmak için Google Ads kampanyaları yürütürler.
Free Live Webinar for DIFR/SOC Teams: Securing the Top 3 SME Cyber Attack Vectors - Register Here.
Şüphelenmeyen kullanıcılar kötü amaçlı reklamlara tıkladıklarında, yasal yazılımı taklit edecek şekilde dikkatle hazırlanmış sahte web sitelerine yönlendirilirler.
Web siteleri, kullanıcıları kötü amaçlı bir ZIP arşiv dosyası indirmeye yönlendiren değiştirilmiş JavaScript kodu içerir.
ZIP arşivi, meşru Microsoft EXE oleview.exe dosyasının yeniden adlandırılmış bir kopyasını ve IVIEWERS.dll adlı büyük bir DLL dosyasını içerir.
Advanced-ip-scanner.exe dosyası yürütüldüğünde, IVIEWERS.dll dosyasını dışarıdan yükler ve yeni bir Advanced-ip-scanner.exe işlemine oldukça karmaşık bir veri enjekte eder.
Bu veri, tehdit aktörünün sistem bilgilerini toplamasına, cmd.exe aracılığıyla komutları yürütmesine ve temel dosya işleme işlemlerini gerçekleştirmesine olanak tanıyan “MadMxShell” adı verilen çok aşamalı bir arka kapıdır.
Zscaler yakın zamanda saldırganların zehirli reklamlar yoluyla Google Ads altyapısını hedeflemek için silahlı IP tarayıcıları kullandığını belirten bir makale yayınladı.
Teknik detaylar
Kötü Amaçlı Reklam Kampanyası
Tehdit aktörü, popüler ağ tarama ve BT yönetimi yazılımlarını taklit eden çok sayıda alan adı kaydettirdi; örneğin:
- gelişmiş ip tarayıcı[.]net (www.advanced-ip-scanner’ın benzeri[.]com)
- kızgın ip tarayıcı[.]net (www.angryip.org’un benzeri)
- prtg-ip-tarayıcı[.]net (www.paessler.com/prtg’nin benzeri)
Daha sonra, kötü amaçlı web sitelerine trafik çekmek için bu araçlarla ilgili anahtar kelimeleri ve genel BT yönetimi görevlerini hedefleyen Google Ads kampanyaları yürütürler.
Sahte web sitelerinin kaynak kodu, JavaScript kodunda yapılan küçük düzenlemeler haricinde, meşru yazılım web sitelerinin kaynak kodlarını yakından yansıtmaktadır.
Bu değişiklikler, kullanıcıları indirme düğmesine tıkladıklarında kötü amaçlı bir ZIP arşiv dosyası indirmeye yönlendirir.
Meşru ve kötü amaçlı web siteleri arasındaki JavaScript kodu karşılaştırması.
Kötü amaçlı yazılım, çok aşamalı bir saldırı zinciri kullanıyor ve son yük, “MadMxShell” adı verilen bir arka kapıdır.
Bu arka kapı, sistem bilgilerini toplayabilir, cmd.exe aracılığıyla komutları yürütebilir ve dosya işleme işlemlerini gerçekleştirebilir.
Komuta ve kontrol (C2) sunucusu Litterbolo ile iletişim kurar.[.]com, tespitten kaçınmak için özel bir DNS tabanlı protokol kullanıyor.
DNS MX sorguları ve yanıtları alt etki alanları içindeki istekleri ve yanıtları kodlar.
C2 İletişim Protokolü
Kötü amaçlı yazılım aşağıdaki istek ve komut türlerini destekler:
| Tip | İsim | Tanım |
| 0 | Kalp atışı | Kötü amaçlı yazılımın bir sonraki komutu kabul etmeye hazır olduğunu gösterir. |
| 1 | Kayıt | Bir oturumun ilk isteği olarak veya C2 yeniden kayıt komutu verdiğinde gönderilir. |
| 2 | Tip 6 komutları için dosya ve dizin verilerini içerir. | C2 komutlarının alındığını onaylar. |
| 4 | Sistem bilgisi komut sonucu | Tip 4 komutları için toplanan sistem bilgilerini içerir. |
| 5 | Kabuk komut sonucu | Tip 5 komutları için kabuk çıktısını içerir. |
| 6 | Dosya komutu sonucu | Tip 6 komutları için dosya ve/veya dizin verilerini içerir. |
C2 sunucusu, sistem bilgilerini toplamak, cmd.exe aracılığıyla komutları yürütmek ve dosya ve dizinleri değiştirmek gibi çeşitli komutlarla yanıt verebilir.
Soruşturma, tehdit aktörünün e-posta adresini kullanarak çok sayıda alan adı kaydettirdiğini ortaya çıkardı [email protected] çeşitli ağ tarama ve BT yönetimi yazılımlarını taklit etmek için.
Bu alanlar aşağıdaki Otonom Sistem Numaralarına (ASN’ler) ait sunucularda barındırılıyordu:
- AS208312 (REDBYTES, RU)
- AS16276 (OVH, FR)
C2 alanı çöpbolo[.]Kötü amaçlı yazılım C2 iletişimi için DNS protokolünü kötüye kullandığından com.com özel bir ad sunucusu kullandı.
OSINT Araştırması
Daha fazla açık kaynak istihbarat (OSINT) araştırması, tehdit aktörünün blackhatworld gibi yeraltı suç forumlarında hesaplar oluşturduğunu ortaya çıkardı[.]com ve sosyal-eng[.]ru, aynı e-posta adresini kullanarak ([email protected]).
Blackhat dünyasında[.]com forumunda, tehdit aktörü, bu kampanyada gözlemlenen kötü amaçlı reklamcılık taktikleriyle uyumlu olan Google Adsense eşiğini aşma tekniklerine ilgi duyduğunu ifade etti.
Tehdit aktörünün Google Ads kötüye kullanım kursuna ilgi duyduğunu gösteren yayınları.
Özellikle güvenlik ve ağ yönetimi görevlerinde bulunan BT profesyonellerini hedef alan bu gelişmiş kötü amaçlı reklam kampanyası, gelişmiş kalıcı tehdit (APT) gruplarının ve ilk erişim aracılarının (IAB’ler) oluşturduğu süregelen tehdidi vurgulamaktadır.
Tehdit aktörü, sahte yazılımdan yararlanarak ve Google Ads’ü kötüye kullanarak, hassas bilgileri toplayabilecek ve virüslü sistemlere uzaktan erişim sağlayabilecek güçlü bir arka kapı dağıtabilir.
Güvenlik topluluğu dikkatli kalmalı ve BT ekiplerini, yasal görünseler bile güvenilmeyen kaynaklardan yazılım indirmenin riskleri konusunda eğitmelidir.
Ağ izleme, uç nokta koruması ve kullanıcı farkındalığı eğitimi gibi sağlam güvenlik önlemlerinin uygulanması, bu tür saldırıların etkisinin azaltılmasına yardımcı olabilir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP