2018’de tanımlanan finansal motivasyona sahip bir tehdit aktörü olan TA558, birçok ülkeyi hedef alıyor ancak en büyük önceliğe sahip olarak Latin Amerika’yı hedef alıyor.
Bu özel tehdit aktörünün çeşitli araçları ve kötü amaçlı yazılımları kullanmayı ve yasal FTP sunucuları ile SMTP Sunucularını tehlikeye atmayı içeren 320’den fazla saldırısı gözlemlendi.
320 saldırının 45’i Meksika’yı, 38’i Kolombiya’yı ve 26’sı Şili’yi hedef aldı.
İlgi duyulan sektörlerin Sanayi sektörü (%22), Hizmet sektörü (%16) ve Kamu sektörü (%16) olduğu görülmektedir.
Ayrıca tehdit aktörü, görseller ve metin dosyalarıyla da Steganografi tekniklerini kullanıyor.
TA558 Bilgisayar Korsanları 320’den Fazla Kuruluşun Güvenliğini Ele Geçirdi
Tehdit aktörü, kurbanlara kimlik avı e-postaları göndermek için ele geçirilen SMTP sunucularını kullandı ve aynı SMTP sunucularını C2 altyapısı için de kullandı.
Bu tehdit aktörü tarafından kullanılan SMTP sunucularından bazılarının, Çalınan verilere ilişkin Kötü Amaçlı Yazılım günlüklerini içeren genel dizinlere sahip olduğu tespit edildi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Günlük dosyaları, iyi bilinen tarayıcılardan, e-posta hesaplarından ve uzaktan erişim kimlik bilgilerinden alınan kimlik bilgilerinin birleştirilmiş günlüklerini içeriyordu.
Üstelik bu kimlik bilgileri düzenli kullanıcılara, kamu kurumlarına ve çeşitli işletmelere aitti.
Araştırmanın ilk aşamalarında araştırmacılar, güvenliği ihlal edilmiş bir SMTP sunucusundan gelen kimlik avı e-postasında bir XLAM dosyası keşfetti.
Ek Excel ile açıldığında C2 URL’sinden Excel makroları kullanılarak “packedtpodododod.exe” isimli EXE dosyası indirilmiştir.
Ayrıca, aynı C2 sunucusunda, CVE-2017-11882’nin istismar dosyası olan başka bir EXE dosyasıyla birlikte bir RTF dosyası da belirlendi.
Son EXE dosyası indirilip çalıştırıldığında, ilgili kötü amaçlı yazılımın son yükü, örneğin AgentTesla, filtrelenen verileri FTP aracılığıyla C2’ye yükler.
Daha ayrıntılı analizler, tehdit aktörünün AgentTesla, Remcos, XWorm, LokiBot, Guloader, Formbook ve SnakeKeylogger gibi birden fazla kötü amaçlı yazılım ailesini kullandığını ortaya çıkardı.
Saldırı Senaryoları
Tehdit aktörü tarafından iki saldırı senaryosu belirlendi. Biri bir Excel belgesi ve steganografi kullanmayı, diğeri ise bir Microsoft Word belgesini içerir.
Bu saldırı senaryoları arasında Excel belgesi kullanılarak yapılan saldırı, ele geçirilen SMTP sunucusundan kurbana kötü amaçlı bir dosya olan “Cerere de cotatie.xla”yı içeren bir kimlik avı e-postası gönderilmesiyle başlayan ana senaryoydu.
Bu dosya açıldığında C2 sunucusuna DOC ve RTF indirmesi için iki istekte bulunulur.
RTF dosyası indirildikten sonra, bir macundan başka bir VBS dosyası indirilir[.]ee sunucusu.
Bunu takiben VBS dosyası, bir sonraki aşamadaki veriye işaret eden, base64 kodlu kötü amaçlı bir dize içeren iki görüntü dosyasını indirmeye ve kodunu çözmeye devam ediyor.
VBS dosyası, bu base64 kodlu dizenin kodunu çözmek ve sonraki aşama yükünü indirmeye devam etmek için bir PowerShell betiği içerir.
Son olarak, AgentTesla kötü amaçlı yazılımı, yürütme ortamını kontrol eden sistemde çalışır.
Ayrıca kurbanın IP adresinin gerçek olup olmadığını da kontrol eder. Bu kontroller başarılı olursa, kötü amaçlı yazılım tarayıcılardan, e-posta istemcilerinden ve uzaktan erişim hizmetlerinden veri çalmaya devam eder ve bunları FTP kullanarak C2 sunucusuna yükler.
Bununla birlikte, Microsoft Word belgesini içeren ikinci saldırı çeşidi de benzer bir metodolojiye sahip ancak görüntülerin kullanıldığı steganografi tekniklerini kullanmıyor.
Bunun yerine, RTF belgesini kullanarak AgentTesla kötü amaçlı yazılımını doğrudan indirir.
Remcos, LokiBot, FormBook, Guloader, Snake Keylogger ve XWorm kullanan saldırıların diğer çeşitleri de kötü amaçlı yazılımın kurbanın sistemine indirilmesi ve çalıştırılması için ilk saldırı senaryosunu kullanıyor.
Bununla birlikte, C2 ve indirme sunucuları her kötü amaçlı yazılım ve saldırı çeşidi için farklılık gösterir.
Daha ayrıntılı bir incelemede, tehdit aktörleri tarafından kullanılan FTP sunucularının meşru web sitelerine ait olduğu ve bu sunucuların veri hırsızlığı için C2 sunucuları olarak kullanılması nedeniyle ele geçirildiği ortaya çıktı.
Ayrıca sosyal medyada binlerce takipçisi olan birkaç meşru şirket de vardı.
Ayrıca uzlaşma göstergeleri Positive Technologies tarafından yayınlanan araştırma blogunda görülebilir.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.