Aralık 2024’ün En Önemli 5 Siber Saldırısı

   Aralık 26, 2024  Posted in CyberSecurityNews


Aralık 2024'teki En Önemli 5 Siber Saldırı

ANY.RUN’daki siber güvenlik araştırma ekibi, İnteraktif Sandbox ve Tehdit İstihbaratı Arama araçlarından yararlanarak Aralık 2024 boyunca ortaya çıkan bir dizi tehdidi ortaya çıkardı ve analiz etti.

takım vurgulandı Microsoft hizmetleri ve imalat endüstrisi de dahil olmak üzere önde gelen platformları hedef alan, gelişen tehdit ortamına ilişkin büyüleyici trendler ve hayati bilgiler.

1. Siber Suçlular, Kimlik Avı Kampanyalarında Microsoft Azure Blob Depolamayı İstismar Ediyor

Kimlik Avı Sayfaları HTML Belgelerinin Kaçakçılığı

Yeni bir kimlik avı kampanyası, saldırganların Microsoft’un Azure Blob Depolama hizmetinden nasıl yararlandığını ortaya çıkardı. Akıllıca hazırlanmış bu kimlik avı sayfaları, *.blob.core.windows[.]net alt alan adı, kullanım HTML kaçakçılığı Kullanıcı kimlik bilgilerini çalmak için.

Kimlik avı sayfası: Karakteristik bir özelliğe sahip HTML belgesi

Taktikler ve Teknikler

  • Kimlik avı sayfaları HTML belgeleri “doom” kimliğiyle etiketlenmiş bir blok giriş öğesi gibi benzersiz tanımlayıcılarla.
  • Sayfaların kullandığı JScript güvenilirliği artırmak için kullanıcıya özel bilgileri (işletim sistemi, tarayıcı) toplamak.
  • Sahte giriş sayfalarına girilen kimlik bilgileri bir HTTP POST isteği gibi kötü amaçlı bir web sitesine gönderildi nocodeform[.]io.
  • Logolar meşru hizmetten dinamik olarak çekilir logo[.]clearbit[.]com özgünlüğü geliştirmek için.

Analiz oturumuna bakın ANY.RUN sanal alanında.

Kullanıcının kimlik bilgileri sahte oturum açma formundan çalınıyor

Bu kimlik avı sayfalarının ömrü kısa olmasına rağmen, barındırılan sayfalardaki kötü amaçlı içeriğin minimum düzeyde olması, bu sayfaların daha uzun süre tespit edilmekten kurtulmasını sağlar.

Analiz ve Savunma

ANY.RUN’un Etkileşimli Sandbox’ında bu saldırılara yönelik ayrıntılı analiz oturumları mevcuttur. Kullanma Tehdit İstihbaratı Aramasıgüvenlik uzmanları Azure Blob Depolamayı hedefleyen kötü amaçlı URL’leri belirli etki alanı sorguları aracılığıyla aşağıdaki gibi izleyebilir.

domainName:".blob.core.windows.net" and domainName:"aadcdn.msauth.net" and domainName:"cdnjs.cloudflare.com" and domainName:"www.w3schools.com"

Tehdit araştırmalarınızı başlatmak için TI Arama’da 20 ücretsiz istek almayı deneyin

2. Microsoft OneDrive: HTML Blobu Kaçakçılığının Bir Başka Hedefi

Meşru Dosya Paylaşımı Kılığına Giren Kimlik Avı:

Saldırganlar HTML kaçakçılığı taktiklerini Microsoft’un OneDrive hizmetine kadar genişletti. Mağdurlar sahtekarlıkla kandırılıyor OneDrive giriş sayfasıözgün görünecek şekilde tasarlandı.

OneDrive oturum açma formu gibi görünen kimlik avı sayfası

Saldırı Zinciri Dağılımı

  1. Kullanıcılar OneDrive’a yerleştirilen köprüler aracılığıyla kandırılıyor.
  2. Bağlantıya tıkladıktan sonra kaçakçılık kodunun bulunduğu sayfaya yönlendiriliyorlar.
  3. Girilen kimlik bilgileri bir Komuta ve Kontrol (C2) HTTP POST isteği aracılığıyla sunucu.
  4. Kurbanlar daha sonra saldırı izini takip etmek için meşru bir web sitesine yönlendiriliyor.

Temel Bulgular

Simgeler ve arka planlar gibi görsel varlıklar şu adreste barındırılır: IPFS’ler Ve imgur[.]iletişim.

“Bağlantıya tıkladıktan sonra kullanıcı HTML Blob Kaçakçılık kodunun bulunduğu ana sayfaya yönlendiriliyor. Kurbanlar kimlik bilgilerini girdikten sonra meşru bir web sitesine yönlendiriliyor.”

Saldırıyı gerçekleştirmekten sorumlu olan kötü amaçlı bir komut dosyası olan Base.js, ANY.RUN kullanılarak çıkarıldı ve kodu çözüldü. MITM (Ortadaki Adam) özellik.

Analyze malicious files and links with ANY.RUN’s Interactive Sandbox for free - Get 14 Days Free Trial

Tehdit aktörleri, kötü amaçlı bağlantılar yerleştirerek Microsoft Dynamics 365 web formlarını kimlik avı araçlarına dönüştürdü. Barındırılan, meşru görünen URL’ler microsoft.com’un alt alan adları, kullanıcıları sahte sayfaları ziyaret etmeleri için kandırır.

Gerçek Dünya Örneği

Tipik bir kimlik avı bağlantısı şuna benzeyebilir:
hxxps://customervoice.microsoft[.]com/Pages/ResponsePage.aspx?id=N_pyUL0QJkeR...

Kötü amaçlı sayfa, Microsoft hizmetinde barındırılan bir belgeye benziyor

Microsoft’un hizmetlerinde barındırılan bir PDF indirmesini taklit eden kötü amaçlı sayfa, kullanıcıları hassas bilgileri paylaşma konusunda aldatıyor.

ANY.RUN’un Tehdit İstihbaratı araçları bu tür saldırıların ortaya çıkarılmasına yardımcı olarak kuruluşların arama yapmasına ve kötü amaçlı formları analiz et kendi korumalı alan ortamında.

4. LogoKit Kimlik Avı Çerçevesi Gelişiyor

LogoKit’in Çalışma Modu

Yaygın olarak kullanılan LogoKit kimlik avı araç seti, dinamik logolar ve ekran görüntüleri sunan hizmetlerden yararlanır.

Simgeler, resimler, arka planlar, formlar: LogoKit destekli sahte sayfa

Kolaylaştırılmış ancak aldatıcı yaklaşımı şunları içerir:

  • Şirket logoları şuradan alınıyor: logo[.]clearbit[.]com kullanıcı tarafından girilen e-posta alan adlarını temel alır.
  • Cloudflare Pages gibi platformlarda kötü amaçlı komut dosyalarını, stilleri ve görüntüleri barındırmak.
  • Sahte bir Asya bakkal sitesi gibi sahte alan adları aracılığıyla kurbanları yönlendirmek (asiangrocers[.]store), tespit edilmekten kaçınmak için.

Komut Dosyaları ve Veri Hırsızlığı

Aşağıdaki görevlerle karıştırılmış üç JavaScript dosyası keşfedildi:

  • Sayfa analizinin engellenmesi.
  • Çalınan kimlik bilgilerinin toplanması ve bunların daha sonra HTTP POST istekleri yoluyla saldırganların C2 altyapısına gönderilmesi.

5. İmalat Sektörüne Yönelik Hedefli Saldırılar: Lumma ve Amadey Kötü Amaçlı Yazılım

Aralık ayı, Lumma Stealer ve Amadey Bot’u kullanan birleşik bir saldırının ortaya çıkarılmasıyla endüstriyel oyuncular için endişe verici haberler getirdi.

Bu karmaşık kampanya, hassas bilgilerin çalınmasına ve kritik sistemlerin kontrolünün ele geçirilmesine odaklanıyor ve imalat sektörü için ciddi bir risk oluşturuyor.

Saldırı Zinciri Analizi

  1. Kimlik avı e-postaları, şu adrese yönlendiren URL’ler içerir: LNK dosyaları PDF olarak gizlenmiş.
  2. Etkinleştirildiğinde LNK dosyası başlatılır PowerShell aracılığıyla ssh.exekötü amaçlı bir CPL dosyasının indirilmesini tetikliyor.
  3. WMI (Windows Yönetim Araçları) ve PowerShell komut dosyaları, kapsamlı kurban sistem bilgilerini toplar.

Lumma (veri hırsızlığı için) ve Amadey’in (sistem kontrolü için) koordineli kullanımı, endüstriyel ortamları hedef alan saldırıların artan karmaşıklığını vurguluyor.

ANY.RUN Hakkında

HERHANGİ.KOŞMAK Kötü amaçlı yazılım analizi ve tehdit istihbaratına yönelik son teknoloji araçlarıyla dünya çapında 500.000’den fazla siber güvenlik profesyoneline güç veriyor.

Etkileşimli Korumalı Alanı, gerçek zamanlı kötü amaçlı yazılım etkileşimine izin verirken, Tehdit İstihbaratı Araması, Tehlike Göstergelerinin (IOC’ler) belirlenmesine ve olay müdahalesinin kolaylaştırılmasına yardımcı olur. YARA Arama, Akışlar ve ekip işbirliği gibi özelliklerle ANY.RUN, kuruluşların gelişen tehditlerin önünde kalmasına yardımcı oluyor.

ANY.RUN’da Öne Çıkanlar

  • Kötü amaçlı yazılımları saniyeler içinde tespit edin.
  • Tehditleri gerçek zamanlı olarak simüle edin ve analiz edin.
  • Korumalı alan ortamlarını zahmetsizce ölçeklendirin.
  • Bulguları paylaşın ve ekipler arasında işbirliği yapın.

ANY.RUN’dan Ücretsiz Kötü Amaçlı Yazılım Araştırması – Elde etmek 14 günlük ücretsiz deneme.



Source link