Tehdit oyuncusu TA558’den yeni bir Asyncrat kötü amaçlı yazılım kampanyası, Güney Amerika misafirperverliği endüstrisini hedef alıyor ve gezginlerin ve siber güvenlik profesyonellerinin dikkatini çekiyor.
Kampanya, öncelikle diğer kötü amaçlı yazılımlar için bir kimlik bilgisi ve yükleyici olarak çalışan açık kaynaklı bir uzaktan erişim Truva atı (sıçan) olan yeni bir Asyncrat türevini kullanıyor. Kötü amaçlı yazılımın bu son kullanım durumu, siber suçluların bilgisayar sistemlerini ihlal etmek ve hassas verileri çalmak için nasıl yeni teknikler benimsediğini göstermektedir.
Aşağıda, bu kötü amaçlı yazılım kampanyasının nasıl keşfedildiğini ve analiz edildiğini, muhtemelen bilinen bir tehdit grubuyla bağlantısı ve kuruluşların bu kötü amaçlı yazılım tehdidinde etkili bir şekilde mücadele etmeleri için ipuçları sunuyoruz.
Keşif ve analiz
Güvenlik araştırmacıları, basit bir kötü amaçlı yazılım örneği olan (kötü niyetli görünen bir JavaScript (JS) dosyası ve enfeksiyon zinciri analiz ederken bu yeni Asyncrat türevini keşfettiler. Örneğin daha yakından incelenmesi, kötü amaçlı yazılımın, tehlikeye atılan bir web alanında barındırılan bir PDF gibi görünmek için gizlenmiş bir kötü amaçlı PowerShell komut dosyasının indiricisi olduğunu gösterdi. “PDF” iki dosya bıraktı: biri yardımcı dinamik bağlantı kütüphanesi (DLL) ve diğeri Asyncrat.
Tehdit aktörlerinin sıklıkla Asyncrat’ı nasıl dağıttıklarına uygun olarak, saldırganlar genellikle bu kötü amaçlı yazılım türevini bir kimlik avı e -postasıyla sunar, bu da muhtemelen bir S3 kovasından bir zip dosyası indiren bir köprü içerecektir. İlginç bir şekilde, araştırmalar ZIP dosyasını barındıran URL’nin Google’a bir sorgu ile sona erdiğini gösterdi. Bu, dosyayı indirdikten sonra kullanıcıları Google’a yönlendirmesi muhtemeldir, bu da sıradan hiçbir şey olmadığı görülür. Bu aynı zamanda URL’leri güvenilir alanlarla ayıran ağ filtrelerini de kandırabilir. Bu nedenle, ağınız açıkça “Google.com” içeren bir URL’ye izin veriyorsa, bunu kaçırır.
Kötü amaçlı yazılım dosyasının daha fazla incelenmesi, “PDF” nin kötü amaçlı yazılımın enfeksiyon zincirinde nasıl çalıştığını gösterdi. PDF olarak örtülü kötü niyetli PowerShell betiği, iki ikili, küçük gizleme ve algoritmik bit manipülasyonu içerir. Ek analiz, kötü amaçlı yazılımın bir damlalık olduğunu doğruladı. Uzlaşma göstergeleri arasında Güney Amerika ülkelerindeki otellerle ilişkili web alanları ve URL’ler, özellikle Brezilya ve Şili vardı.
Bilinen Tehdit Grubuna Bağlantı
Daha geniş araştırmalar, bu Asyncrat kötü amaçlı yazılım kampanyasının TA558 tehdit grubu ile ilişkili olduğunu gösterdi. Brezilya’dan faaliyet gösterdiğine inanılan grup, alan adlarını kaçırma ve yükleyicileri ve damlaları dağıtmak için güvenilir içerik dağıtım ağlarını (CDN’ler) kullanma geçmişine sahiptir. E -posta kimlik avı grubun tercih ettiği saldırı vektörü gibi görünüyor. Grup tarihsel olarak sayısız sıçan kullanırken, son zamanlarda Asyncrat’ı tercih etti.
Bu kötü amaçlı yazılım durumunda, tehdit oyuncusunun indiricilerini ve damlalarını gizleme yöntemleri yeni değildir. Temel filtreleri atlayan dosya manipülasyonu kullanırlar, ancak saldırıları yürütüldükten sonra “yüksek” olma eğilimindedirler. Tehdit oyuncusunun “Google.com” sorgularını Aşama 1 indirmesinde kullanması, tehlikeye atılan alanlardan yararlanması ve Droppers olarak PDF’lerin maskelemesi gürültüyü düşük tutmaya çalışır.
Bu son Asyncrat kampanyası nasıl mücadele edilir
Asyncrat kötü amaçlı yazılımın dikkate değer bir özelliği, bu son kampanyanın kullandığı tespitten kaçınmak için şifreleme ve gizleme yöntemlerini kullanmasıdır. Bu nedenle, kuruluşların bu kötü amaçlı yazılım tehdidini püskürtmek için derinlemesine bir savunma yaklaşımı benimsemeleri önemlidir.
Kuruluşlar, kimlik avı ve mızrak avcı avı saldırılarına karşı koymak için kullanıcı farkındalığı eğitimi almalıdır. Oyunlaştırma yöntemleri güvenlik eğitimini daha etkili hale getirebilir ve derslerin son kullanıcılara bağlı kalmasına yardımcı olabilir. Her zaman olduğu gibi, güvenlik eğitimi, bilinmeyen kaynaklardan belgeleri veya e -posta eklerini indirme risklerini vurgulamalıdır. Ayrıca, kuruluşlar kötü niyetli saldırıların yürütülmesini durdurmak için hızlı bir şekilde yanıt verebilecek gelişmiş uç nokta algılama ve yanıt çözümlerinden yararlanmalıdır. Güvenlik çözümlerini ağda ve ana bilgisayar tabanlı seviyelerde kullanmak etkili güvenlik için çok önemlidir.
Ayrıca, BT ve güvenlik ekiplerinin yazılımı düzenli olarak güncellemeleri ve güvenlik yamaları yüklemeleri, güçlü erişim kontrolleri ve şifreler kullanması ve verileri rutin olarak yedeklemesi çok önemlidir. Bir asycrat saldırısı ilk savunmaları geçerse, muhafaza önemlidir. Bir sistem veya cihaz enfekte olursa, ağın geri kalanından izole edin ve tehdidin içerdiğinden emin olun.
Bu en son Asyncrat kötü amaçlı yazılım kampanyasında kullanılan yöntemler yeni olmasa da, etkili oldukları kanıtlanmıştır, bu yüzden tehdit aktörleri bunları kullanmaya devam etmektedir. Asyncrat kötü amaçlı yazılım saldırılarını önlemenin en etkili yolu, kullanıcılar gönderenin ve içeriğinden emin olmadıkça, kullanıcıları bilinmeyen gönderenlerden gönderilen e -postalara şüpheci olmaları ve harici varlıklardan asla garip e -posta eklerini açmamaktır. En eğitimli insanlar bile, çok katmanlı bir güvenlik duruşuna sahip olmanın önemini vurgulayan kimlik avı taktiklerini e -posta ile kurban edebilir.
Yazar hakkında
Ryan Estes, WatchGuard Technologies’de bir saldırı analistidir. Araştırmaları kötü amaçlı yazılım analizi, kötü amaçlı yazılım tersine mühendislik ve fidye yazılımı tehditlerine odaklanıyor ve bu konuları Sık sık WatchGuard’ın Secplicity bloguna katkıda bulunuyor. Siber güvenlik alanında geçirdiği süre boyunca (ISC) ², CompTIA, Saldırgan Güvenlik, CWNP ve Saint Louis Üniversitesi (SLU) gibi kuruluşlardan 12 sertifika kazandı. Ryan, SLU’dan siber güvenlik alanında bir yüksek lisans olan Southern Illinois Üniversitesi Edwardsville’den (SIUE) bilgisayar bilimlerinde lisans derecesine sahiptir ve yönetim bilgi sistemlerine odaklanan bir MBA peşinde koşmaktadır.