Rusça konuşan bir tehdit oyuncusu tarafından düzenlenen sofistike bir kimlik avı kampanyası ortaya çıkarıldı, bu da Cloudflare hizmetlerinin kötüye kullanımını ve telgrafı kötü niyetli amaçlar için ortaya çıkardı.
Hunt.io’daki araştırmacılar, Cloudflare markalı kimlik avı sayfaları ve algılamadan kaçınmak için gelişmiş taktikleri kullanan bu yeni saldırı dalgasını belirlediler.
Kampanya, Cloudflare’nin sayfalarını kullanıyor.dev ve işçiler.
Bu kimlik avı sayfaları, Dijital Binyıl Telif Hakkı Yasası (DMCA) yayından kaldırma bildirimlerini taklit ederek kurbanları PDF olarak gizlenmiş kötü amaçlı dosyaları indirmeye zorlar.
Saldırganlar, yürütüldükten sonra bir kötü amaçlı yazılım enfeksiyon zincirini tetikleyen Windows kısayol (.lnk) dosyalarının indirmelerini başlatmak için “Search-MS” protokolünden yararlanır.
Kimlik avı altyapısı ve enfeksiyon zinciri
Kimlik avı kurbanlarını, “Pages.dev” ve “Workers.dev” gibi Cloudflare altyapısında barındırılan alan adlarına yönlendirir;
PDF olarak gizlenen kötü niyetli .lnk dosyası, uzlaşmış bir sunucuda barındırılan bir açık dizinden ek yükler indiren bir PowerShell komut dosyası yürütür.
Bu, Python tabanlı kötü amaçlı yazılım ve meşru bir Python yürütülebilir yazılım içeren bir zip arşivi içerir.
Çıkarıldıktan sonra, kötü amaçlı yazılım Windows başlangıç klasöründe kısayollar oluşturarak kalıcılık oluşturur ve piramit komut ve kontrol (C2) sunucuları ile iletişim kurar.
Araştırmacılar, analizi hayal kırıklığına uğratmak için gizleme teknikleri de dahil olmak üzere kötü amaçlı yazılımların dağıtım mekanizmasında artımlı değişiklikler olduğunu kaydetti.
Örneğin, Python komut dosyasındaki yapılandırma verileri artık kod çözülmeden önce ek önemsiz karakterlerle kodlanmıştır.
Bu değişikliklere rağmen, genel enfeksiyon mantığı aynı aktörle bağlantılı önceki kampanyalarla tutarlı olmaya devam etmektedir.
Geliştirilmiş hedefleme için telgraf entegrasyonu
Bu kampanyadaki dikkate değer bir evrim, telgrafın kurban izleme için entegrasyonudur.
Kötü amaçlı yazılım, enfekte edilmiş ana bilgisayarların harici IP adresini saldırgan tarafından işletilen bir telgraf botuna göndermek için bir PowerShell betiği kullanır.
Bu, komut dosyasına gömülü sabit kodlu bot jetonları ve sohbet kimlikleri ile elde edilir.
Bu etkinlikle ilişkili telgraf grubunun, “ш кд запetim” (“PS kodu lansmanı” olarak çevrilen) başlıklı başlıklı, bir yönetici ve bot operatörü de dahil olmak üzere birkaç üye arasındaki işlemleri koordine ettiği görülmektedir.
Teknik sofistike olmalarına rağmen, saldırganlar sunucularında açık dizinleri bırakma gibi operasyonel güvenlik (OPSEC) turları sergilemeye devam ediyor.
Bu dizinler, altyapı ve kötü amaçlı yazılım bileşenleri hakkında ayrıntıları ortaya koyarak araştırmacıların faaliyetlerini haritalamasını sağlıyor.
Bu açık dizinlerden yararlanan 20’den fazla alan tanımlandı ve operasyonun ölçeğini daha da ortaya koydu.
Bu kampanya, operasyonlarını maskelemek ve tespitten kaçınmak için siber suçlular tarafından Cloudflare ve Telegram gibi güvenilir hizmetlerin kötüye kullanılmasının altını çiziyor.
Meşru platformların kullanımı sadece kimlik avı sayfalarına güvenilirlik sağlamakla kalmaz, aynı zamanda kötü niyetli etkinlikleri belirleme çabalarını da karmaşıklaştırır.
Ayrıca, “Search-MS” gibi protokol işleyicilerinin kullanılması, saldırganların kullanmaya devam ettiği uç nokta izlemedeki boşlukları vurgulamaktadır.
Güvenlik ekiplerine, kötü niyetli yükler sunan açık dizinlere karşı uyanık kalırken Cloudflare alanlarını ve protokol işleyicilerini içeren istismar belirtilerini izlemeleri tavsiye edilir.
Telgraf tabanlı iletişimin gelişmiş incelemesi, ortaya çıkan tehditlerin belirlenmesine de yardımcı olabilir.
Bu tehdit oyuncusu taktiklerini geliştirdikçe, kuruluşlar savunmalarını giderek daha sofistike olan kimlik avı kampanyalarının ortaya koyduğu riskleri azaltmak için uyarlamalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!