Trend Micro’daki siber güvenlik araştırmacıları kısa bir süre önce Blackcat Fidye Yazılımı (ALPHV olarak da bilinir) aktörlerinin Hedefli Saldırı Tespiti (TAD) hizmeti aracılığıyla sahte WinSCP yükleyicilerini yaymak için kötü amaçlı reklam hileleri kullandığını tespit etti.
Bu reklam kampanyalarında tehdit aktörleri, meşru kuruluşların klonlanmış web sayfalarını kullanarak kurbanlarını kandırmışlardır.
.png
)
Google Ads, özel reklamlarla kitleleri hedefleyerek satışları artırır ve işletmelerin trafiğini artırır.
Bu durumda, tehdit aktörleri, arama motoru kullanıcılarını kötü amaçlı reklamlarla tuzağa düşürmek ve gizlice kötü amaçlı yazılım dağıtmak için anahtar kelime hırsızlığından yararlanan kötü amaçlı reklam kampanyaları başlatmak için bu platformları kullanır.
Blackcat Fidye Yazılımı Enfeksiyon Zinciri
Tehdit aktörlerinin alan adı yönetici ayrıcalıkları edinmesi ve arka kapılar oluşturması dikkate alındığında, müdahalenin geciktirilmesi, işletmeyi ciddi şekilde etkilemiş ve önemli sonuçlara yol açmıştır.
Kullanıcı, Bing’de “WinSCP İndirme” araması yaptığında, organik arama sonuçlarının üzerinde konumlanan uygulamayı tanıtan aldatıcı bir reklamla karşılaşır. Reklama tıklamak, WinSCP aracılığıyla otomatik dosya aktarımları hakkında bir eğitim içeren şüpheli bir web sitesine yönlendirir.
İlk sayfaya geldikten sonra, kullanıcı klonlanmış bir WinSCP indirme sitesine gönderilir: –
“İndir” seçeneğine tıklamak, virüslü bir WordPress sayfasından bir ISO dosyası indirme işlemi başlatır: –
- hxxps://etkinlikler[.]drdivyaclinic[.]iletişim
Nihai yük URL’si daha sonra kötü niyetli aktör tarafından paylaşılan dosya paylaşım hizmeti 4’e geçirilirken.
Kötü Amaçlı İndirme Sitesi
Kurban tıkladığında, “setup.exe” ve “msi.dll” içeren bir ISO dosyası alır – ilki kullanıcıyı onu açmaya teşvik ederken, ikincisi tetiklenen kötü amaçlı yazılım damlatıcısı görevi görür.
setup.exe’yi çalıştırdıktan sonra msi.dll’yi tetikler, DLL RCDATA bölümünden bir Python klasörü çıkarır ve ayrıca kurulum için orijinal WinSCP yükleyicisi olarak işlev görür.
İşlem, truva atına dönüştürülmüş bir python310.dll yüklemeyi ve aşağıdaki değere sahip “Python” adlı bir çalıştırma anahtarı aracılığıyla kalıcılık sağlamayı içerir: –
- C:\Users\Public\Music\python\pythonw.exe
Değiştirilmiş, gizlenmiş bir python310.dll dosyası, pythonw.exe’nin başarıyla yürütülmesi üzerine yüklenir. Python310.dll dosyası, bir C2 sunucusuyla bağlantı kuran bir Cobalt Strike işaretini içerir.
Cobalt Strike çalışır durumdayken, komut dosyalarını yürütmek, yanal hareket için araçları almak ve uzlaşmayı yoğunlaştırmak zahmetsiz hale gelir.
Kullanılan aletler
Aşağıda, Blackcat Ransomware (aka ALPHV) tarafından kullanılan tüm araçlardan bahsetmiştik: –
- kıvırmak
- PsExec
- PowerShell komutları
- PowerView
- Bit Yöneticisi
- Reklam Bul
- ErişimChk64
- Findstr
- PuTTY Güvenli Kopya
- Herhangi Bir Masa
- Python betikleri
- ÖldürAV YARASA
Bunun dışında ALPHV, EDR ve antivirüs çözümlerini devre dışı bırakan bir araç olan SpyBoy “Terminatör”ü de kullandı.
öneriler
Aşağıda, araştırmacılar tarafından sunulan tüm önerilerden bahsetmiştik:-
- Kimlik avı saldırılarını tanıma ve bunlardan kaçınma konusunda çalışanları eğitmek için gerekli adımları atın.
- Etkinlikleri yakından takip edin ve ayrıntılı günlükler tutun.
- Günlük işlemler için nelerin normal ağ trafiği olarak nitelendirileceğini belirlemek için belirli ölçütler belirleyin.
- Olay müdahale prosedürlerini geliştirmeye ve genel iletişim çabalarını geliştirmeye odaklanın.
- Daha gelişmiş güvenlik geliştirme fikirleri elde etmek için deneyimli siber güvenlik araştırmacıları ve uzmanlarıyla işbirliği yapın.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.