Bilgisayar korsanları, birden fazla uzaktan erişim Truva atı dağıtmak için Cloudflare Tüneli Altyapısı’ndan yarar

Sekoia TDR (Tehdit Tespit ve Araştırma) ekibi, en azından Şubat 2024’ten beri siber saldırganlar tarafından sömürülen “Birden fazla sıçan sunmak için Cloudflare Tüneli Altyapısı” adlı sofistike bir ağ altyapısı hakkında rapor verdi.

Bu altyapı, kötü niyetli dosyaları barındırmak ve kötü şöhretli Asyncrat da dahil olmak üzere uzaktan erişim truva atlarını (sıçanlar) dağıtmak için kullanılmıştır.

Karmaşık enfeksiyon zincirleri ve kalıcı taktikler

Enfeksiyon zinciri, alıcıları bir ek açmaya kandırmak için genellikle faturalar veya siparişler gibi meşru iş yazışmaları olarak maskelenen bir kimlik avı e -postasıyla başlar.

– Reklamcılık –

Söz konusu ek genellikle eski bir “Uygulama/Windows Library+XML” dosya türüdür.

Bu dosya türü e -posta ağ geçitlerinde engellenebilse de, ikili dosyalardan daha az tehdit edici olarak kabul edilebileceği için her zaman işaretlenmez.

Açıldıktan sonra, bu dosya, çok adımlı bir yürütme işlemi oluşturarak CloudFlare altyapısında barındırılan bir WebDAV kaynağına bağlantıyı tetikler.

İlk Erişim ve Yürütme: Kimlik avı e -postasının eki, kullanıcıları vaat edilen PDF’yi açmak yerine bir HTML Uygulaması (HTA) dosyasını yürüten aldatıcı bir LNK dosyasına yönlendirir. Bu HTA dosyası, kurbanın makinesinde Python’u ayarlayan bir toplu dosya (BAT) başlatmak için VBScript kullanır. Bu karmaşık komut dosyası, Python da dahil olmak üzere gerekli bağımlılıkları indirmek ve kurmak için PowerShell’i kullanır ve bu da saldırının diğer aşamalarını gizlemeye yardımcı olur.

Savunma Kaçma ve Kalıcılık: Tespitten kaçınmak için saldırganlar, kurulum klasörlerini gizlemek için dosya özniteliklerini değiştirmek ve ilk kurulumdan sonra izleri temizlemek için komut dosyalarını kullanmak gibi teknikler kullanır. Kalıcılık, Windows başlangıç ​​klasörüne kötü amaçlı komut dosyaları yerleştirilerek sağlanır ve kötü amaçlı yazılımların sistem yeniden başlatmalarında devam etmesini sağlar.

Tespit ve İzleme

Sekoia’nın algılama stratejisi, Sekoia Operatif Dillerinde (SOL) Sigma kurallarının ve özel sorguların bir kombinasyonunu içerir.

Bu kurallar, kimlik avı e -posta eklerinden, yüklerin yansıtıcı yüklenmesi için kullanılan PowerShell komutlarına kadar saldırının çeşitli aşamalarını birden fazla noktada yakalamak için tasarlanmıştır.

Örneğin, “Şüpheli E-posta Eki Alındı” gibi kurallar potansiyel olarak zararlı ekleri filtrelemeye yardımcı olurken, “MSHTA Şüpheli Çocuk Süreci” ve “Dinamik DNS ile temasa geçti” belirgin yürütme ve komut ve kontrol (C2) etkinlikleri.

Bu rapor, güvenlik profesyonellerinin bu tür ileri ve gelişen tehditleri tespit etmede ve engellemede karşılaştıkları zorlukların altını çizmektedir.

Saldırganların meşru görünümlü altyapı ve sofistike kaçırma tekniklerini kullanması, siber güvenlikte devam eden kedi ve fare oyununu vurgular.

Sekoia TDR, bu ve benzer tehditleri izlemeye kararlı olarak, saldırganların taktiklerinin önünde tutmak için algılama yöntemlerini geliştiriyor.

Cloudflare’nin altyapısının bu kötü niyetli amaçlar için kullanılması, modern siber suçluların yaratıcılığını ve savunma mekanizmalarında sürekli adaptasyon gerekliliğini göstermektedir.

Araştırma ayrıca, bu sofistike saldırı vektörlerini etkili bir şekilde ortadan kaldırmak için tehdit istihbarat beslemelerini gerçek zamanlı tespit yetenekleriyle entegre etmenin önemini vurgulamaktadır.

Bu ayrıntılı analiz sadece saldırganlar tarafından kullanılan yöntemlere ışık tutmakla kalmaz, aynı zamanda kuruluşların bu tür sinsi tehditlere karşı güvenlik önlemlerini geliştirmeleri için bir plan görevi görür.

Uzlaşma Göstergeleri (IOCS):

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!