APT Muddywater’a atfedilen gelişmiş bir siber casusluk kampanyası, Avrupa, Kuzey Amerika, Güney Amerika, Afrika ve Asya’daki finans memurlarını ve finans yöneticilerini hedefleyen ortaya çıktı.
Tehdit aktörleri, Rothschild & Co’dan meşru işe alım iletişimi olarak maskelenen çok aşamalı bir kimlik avı operasyonu, yüksek değerli hedefleri kandırmak için özel captcha zorluklarıyla Firebase barındıran kimlik avı sayfalarından yararlanıyor.
Kampanya, şirket ağları içinde kalıcı arka kapılar kurmak için Netbird ve OpenSSH de dahil olmak üzere meşru uzaktan erişim araçlarını dahil eden grubun taktiklerinde önemli bir evrim gösteriyor.
Saldırı dizisi, kurbanları googl-6c11f.firebaseapp.com gibi Firebase ile barındırılan alanlara yönlendiren özenle hazırlanmış mızrak-akhat e-postalarıyla başlar.
Bu fabrikasyon captcha testlerini tamamladıktan sonra, kurbanlar PDF belgeleri olarak gizlenmiş kötü amaçlı fermuar arşivleri sunan ikincil kimlik avı alanlarına yönlendirilir.
.webp)
Bu arşivler, gizliliği korurken uzaktan erişim özelliklerini dağıtmak için tasarlanmış karmaşık bir çok aşamalı enfeksiyon işlemi başlatan VBScript dosyaları içerir.
Hunt.io analistleri, bu kampanya içinde kritik altyapı değişimlerini belirledi ve daha önce belgelenmiş komut ve kontrol sunucularından 192.3.95.152’de 198.46.178.135 numaralı telefondan yeni altyapıya geçişi not etti.
Araştırmacılar, tespit sistemlerinden kaçmak için sabit kodlu passfraslara sahip AES tarafından tespit edilmiş yönlendirme mekanizmalarını kullanan Cloud-Ed980.firebaseapp.com ve Cloud-233F9.web.app dahil olmak üzere özdeş kimlik avı kitlerini kullanan birden fazla Firebase projesi keşfettiler.
Kötü amaçlı yazılımların kalıcılık mekanizmaları bu kampanyanın özellikle ilgili bir yönünü temsil etmektedir.
İlk VBS Downloader (F-144822.vbs), özellikle yürütme üzerine CIS.VBS olarak yeniden adlandırılan /34564/cis.ico yolunu hedefleyen saldırgan kontrollü altyapıdan ikincil bir yük alır.
Bu ikinci aşamalı komut dosyası, aşağıdaki komut yapısını kullanarak Netbird ve OpenSsh MSI paketlerinin sessiz kurulumu da dahil olmak üzere çeşitli kritik işlevler gerçekleştirir:-
msiexec /i netbird.msi /quiet
msiexec /i OpenSSH.msi /quietGelişmiş kalıcılık ve uzaktan erişim uygulaması
Kampanyanın en sofistike unsuru, gereksiz erişim kanalları oluşturmak için birden fazla meşru aracı birleştiren kapsamlı kalıcılık stratejisinde yatmaktadır.
Kötü amaçlı yazılım, “BS@202122” şifresi ile “kullanıcı” adlı gizli bir yönetim hesabı oluşturur ve saldırganlara sistem yeniden başlatmalarında devam eden ayrıcalıklı sistem erişimi sağlar.
Bu hesap, rutin sistem yönetimi faaliyetleri sırasında tespit edilmemesini sağlayarak kayıt defteri değişiklikleri yoluyla Windows giriş ekranlarından stratejik olarak gizlenir.
.webp)
NetBird Dağıtım, güvenli tünel bağlantıları oluşturmak için önceden yapılandırılmış bir kurulum anahtarı (E48E4A70-4CF4-4A77-946B-C8E60855A) kullanır, aynı zamanda uzak masaüstü protokol hizmetlerini etkinleştirir ve güvenlik diplomaları yapılandırır.
Kötü amaçlı yazılım, planlanmış görev oluşturma yoluyla hizmet güvenilirliğini sağlar ve özellikle sistem başlangıç gecikmelerinden sonra NetBird hizmetlerini otomatik olarak yeniden başlatan “ForCenetBirdResTart” görevlerini uygular.
Ayrıca, kampanya, tüm kullanıcı profillerinden NetBird masaüstü kısayollarını kaldırarak sistem yöneticileri veya kullanıcıları tarafından gündelik gözlemlerden yeni yüklenen uzaktan erişim yazılımının varlığını etkili bir şekilde gizler.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.