Hizmet olarak siber suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Hizmet Olarak Erişim Operatörleri Kurbanları Bulmak İçin SEO Zehirlemesini Kullanıyor
Prajeet Nair (@prajeetspeaks) •
12 Ocak 2023
Gootkit kötü amaçlı yazılımının arkasındaki suç çetesi, Avustralya sağlık sektörünü hedefleyen bir kampanyayla yeniden ortaya çıktı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Gootkit’in bazı sürümleri, araştırmacıların onun bir bankacılık Truva Atı olarak çalıştığını ilk kez fark ettikleri 2014 yılından beri var. Daha yakın zamanlarda, operatörleri, coğrafi olarak hedeflenen enfeksiyon kampanyalarının olağandışı özelliği ile bir hizmet olarak erişim sunuyor gibi görünüyor. 2019’da bir güvenlik araştırmacısı, Gootkit ağının bir parçası gibi görünen, herkesin erişebileceği iki MongoDB bulut sunucusu buldu ve bu, birçok kişinin kötü amaçlı yazılımın bittiğini varsaymasına yol açtı – bu varsayım, 2020’de Alman kurbanları REvil fidye yazılımı bulaştırmak için hedef alan bildirilen bir kampanyayla yıkıldı.
Trend Micro’daki araştırmacılar şimdi Google’da hastane, sağlık, tıp ve işletme sözleşmesi gibi terimleri Avustralya şehir adlarıyla eşleştirilmiş olarak arayan yeni kurbanları cezbetmek için kötü niyetli arama motoru optimizasyon teknikleri kullanan Gootkit operatörlerini tespit ettiklerini söylüyor.
2022’nin ikinci yarısında Avustralya, Rus bilgisayar korsanlarının ülkenin en büyük özel sağlık sigortasına karşı düzenlediği bir fidye yazılımı saldırısı da dahil olmak üzere bir veri ihlali dalgası yaşadı (bkz.: Avustralya, Medibank Hacklenmesinden Rus Hackerları Suçladı).
Trend Micro, Medibank saldırısının arkasında Gootkit kampanyasının olduğunu iddia etmiyor ancak “son kampanyanın bize bu olayı hatırlatabileceğini” söylüyor.
Kampanya, SEO zehirlenmesi yoluyla kötü niyetli web sitelerinin arama motoru sonuç sayfası konumunu güçlendirerek ve potansiyel kurbanları, sahte sorular ve yanıtlarla tamamlanan meşru forumlar gibi giyinmiş web sitelerine getirerek çalıştı. Gootkit operatörleri, kurbanların bir ebe için model sözleşme teklif ettiği iddia edilen bir bağlantıya tıklayarak bir zip dosyası indirmelerini istedi. Trend Micro araştırmacılarının yazdığına göre Gootkit, bu kampanyada özellikle “anlaşma” arama terimini beğendi.
Zip dosyası, elbette, kötü amaçlı JavaScript içeriyordu, ancak Gootkit, bulaşmanın ikinci aşamasını gerçekleştirene kadar birkaç saat, hatta günlerce bekleyerek olağan bilgisayar korsanlığı komut dosyasına yine belirgin bir değişiklik sundu. Bu gecikme, “ilk enfeksiyon aşamasını ikinci aşamadan açıkça ayırır.”
İkinci aşama, kullanıcıların 3 milyardan fazla indirdiği iyi bilinen bir açık kaynak medya oynatıcısı olan VLC Media Player’ı taklit eden komut ve kontrol sunucusundan bir dosya indirmeyi içeriyordu. Sahte VLC Media Player yürütülebilir dosyası, kalıcılık oluşturan Cobalt Strike ile ilgili bir modül yükler.
Hem VLC Media Player hem de Cobalt Strike yasal uygulamalardır, ancak Trend Micro’nun dediği gibi, “yasal araçların kötüye kullanılması yaygın bir uygulama haline gelmiştir.”
Araştırmacılar, enfeksiyon zincirini tamamlanmadan önce kestikleri için amaçlanan nihai yükün ne olduğunu bilmediklerini söylüyorlar. Bilgisayar korsanları Cobalt Strike kullandığında, bu genellikle fidye yazılımının öncüsüdür.