Kötü niyetli arka kapı kötü amaçlı yazılımları olan sistem yöneticilerini hedefleyen gelişmiş bir SEO zehirleme kampanyası.
Arctic Wolf Güvenlik Araştırmacıları, Haziran 2025’in başından beri BT uzmanlarını hedefleyen tehlikeli bir arama motoru optimizasyonu (SEO) zehirlenme ve kötü niyetli kampanyayı ortaya çıkardılar.
Kampanya, kurbanların sistemlerine arka kapı kötü amaçlı yazılımı yüklemek için popüler BT araçlarının, özellikle Putty ve WinsCP’nin truva atlı sürümlerini barındıran sahte web siteleri kullanıyor.
Kampanyaya Genel Bakış
Kötü niyetli kampanya, meşru yazılım depolarını yakından taklit eden sahte indirme sitelerini tanıtmak için arama motoru manipülasyonundan yararlanır. BT profesyonelleri bu temel araçları aradıklarında, bunlara saldırgan kontrollü alanlara yönlendiren sponsorlu reklamlar ve zehirli arama sonuçları sunulur.
Hedeflenen temel araçlar şunları içerir:
- Mevcut: Güvenli uzaktan bağlantılar için kullanılan popüler bir SSH istemcisi
- WINSCP: Güvenli dosya transferleri için bir SFTP/FTP istemcisi
Saldırının teknik detayları
Truva atışçılarını indirip yürüttükten sonra, kurbanlar bilinmeden istiridye/süpürge sopası olarak bilinen sofistike bir arka kapı kurarlar. Bu kötü amaçlı yazılım, kurumsal ortamlar için özellikle tehlikeli hale getiren gelişmiş kalıcılık mekanizmaları kullanır.
Arka kapı aşağıdakiler aracılığıyla kalıcılık oluşturur:
- Her üç dakikada bir yürütülen planlanmış görevler
- Runddll32.exe üzerinden kötü niyetli DLL yürütme (twain_96.dll)
- DLLRegIsterserver Dışa Aktarma İşlevini Kullanarak DLL Kayıt Teknikleri
Kampanya özellikle BT uzmanlarını ve sistem yöneticilerini hedeflemektedir, çünkü bu kullanıcılar genellikle kurumsal ağlar içinde yüksek ayrıcalıklara sahiptir. Bu, onları arayan tehdit aktörleri için değerli hedefler haline getirir:
- Kurumsal ağlardan hızla yayıldı.
- Hassas organizasyonel verilere erişin.
- Etki alanı denetleyicileri üzerinde kontrol edin.
- Fidye yazılımı dahil ek kötü amaçlı yazılım yükleri dağıtın.
Saldırı, BT uzmanlarının idari araçları indirme ihtiyaçlarını kullanarak sosyal mühendislik yönünü özellikle etkili hale getiriyor.
Birçok yönetici, yazılımı hızlı bir şekilde bulmak için arama motorlarına güvenerek saldırganların bu aramaları kötü niyetli sonuçlarla kesme fırsatı yaratır.
Arctic Wolf, kuruluşların derhal engellemesi gereken bu kampanya ile ilişkili birkaç alan belirledi:
- UpdatePutty[.]com
- zephyrhype[.]com
- macun[.]koşmak
- macun[.]bahis
- pastel[.]org
Kuruluşlar için öneriler
Güvenilir yazılım edinme uygulamalarını uygulayın:
- Yönetim araçlarını bulmak için personelin arama motorlarını kullanmasını yasaklayın.
- Veteriner dahili yazılım depoları oluşturun.
- Resmi satıcı web sitelerine doğrudan gezinme gerektirir.
- BT araçları için katı indirme politikaları uygulayın.
Ağ düzeyinde korumaları dağıtın:
- Belirlenen kötü amaçlı alanları güvenlik duvarı seviyesinde engelleyin.
- Bilinen kötü alanlara erişimi önlemek için DNS filtrelemesini uygulayın.
- Şüpheli planlanan görevler ve DLL yürütmeleri için izleyin.
- Son nokta algılama ve yanıt (EDR) çözümlerini dağıtın.
Bu kampanya, BT altyapısına yönelik hedefli saldırılarda ilgili bir evrimi temsil etmektedir. Benzer SEO zehirlenme kampanyaları önemli ölçüde arttı, siber güvenlik uzmanları 2024’te ilgili saldırılarda% 103’lük bir artış olduğunu belirtti.
Temel BT araçlarının hedeflenmesi, tehdit aktörlerinin taktiklerini kurbanlarının günlük iş akışlarından yararlanmak için nasıl uyarladığını göstermektedir.
Bu kampanyanın keşfi, özellikle yazılım edinimi ve uç nokta koruması etrafında sağlam siber güvenlik uygulamalarının uygulanmasının kritik öneminin altını çizmektedir.
Saldırganlar geleneksel güvenlik önlemlerini atlamak ve ağ güvenliğini korumaktan sorumlu profesyonelleri hedeflemek için tekniklerini geliştirmeye devam ettikçe kuruluşlar uyanık kalmalıdır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi