Bilgisayar korsanları, kullanıcıları kötü amaçlı sitelere yanlış yönlendirerek arama motoru sıralamalarını değiştirmek için SEO sonuçlarını zehirler.
Güvenlik açıklarından yararlanmayı, meşru web sitelerine kötü amaçlı kodlar veya bağlantılar yerleştirmeyi ve aldatıcı içerikleri daha fazla göz önünde bulundurmayı amaçlıyorlar.
Son zamanlarda, DFIR raporu hizmetleri siber güvenlik araştırmacıları, bilgisayar korsanlarının Gootloader kötü amaçlı yazılımını ve gerçek RDP erişimini dağıtmak için SEO sonuçlarını aktif olarak zehirlediğini keşfetti.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Hackerlar SEO Sonuçlarını Zehirliyor
Şubat 2023’te birisi, Gootloader’ın oluşturduğu zehirli bir SEO sonucu nedeniyle “Zımni İstihdam Sözleşmesi” araması yaptı.
İndirmeye yönelik sahte forumda kullanıcı, bağlantıya tıklayarak tuzağa düştü. Açılır açılmaz Gootloader adında bir program ortaya çıktı ve varlığını garantileyen dosyaları getirdi.
Bir sonraki adım PowerShell betiklerini yürütmek ve uzak uç noktalara bağlanmaktı.
Ancak Windows Defender sonraki denemelerde yanal hareketi engelledi. Tuzaklar olmasına rağmen saldırgan görevini sürdürdü ve bir etki alanı denetleyicisini ele geçirmek için SystemBC’yi kullandı.
Daha sonra RDP yöntemini kullanarak yedeklere ve hassas bilgilere, bunları kaldırma girişiminde bulunuluncaya kadar erişim sağladılar.
Kullanıcı, SEO ile kirlenmiş bir web sitesine gitti ve bu da “Zımni İstihdam Sözleşmesi” indirmesiyle ilgili şüpheli bir forum bağlantısına yönlendirdi.
Zararsız görünen belge aslında bir zip arşivinin içindeki GootLoader yükleyicisiydi. Zamanlanmış görevler oluşturan ve karmaşık komut dosyaları çalıştıran bir JavaScript zinciri yürütüyordu.
PowerShell betiği bulaşmayı şu yollarla kolaylaştırdı: –
- Svchost.exe
- Wscript.exe
- Cscript.exe
- Powershell.exe
Bazı sunucular bir HTTP 405 yanıt koduyla geri geldi; ancak bunlardan biri 46.28.105 adlı silahlı bir sunucuydu.[.]94, Gootloader’ı bir URL aracılığıyla tetikledi.
Son indirme, Gootloader aşama 1’in (karışık dll), aşama 2’nin (exe dosyası) çeşitli sürümlerini ve her ikisinin de kayıt defterine yazılmış bir komut dosyasını içeriyordu.
Aşama 1, Kobalt Saldırı İşaretini yükleyen aşama 2’nin gizliliğini kaldırdı. Açıkçası, Cobalt Strike’ın ‘getsystem’ komutu, yükseltme amacıyla DLLHOST’tan cmd oluşturmak için kullanıldı.
Oturum açma oturumları, ‘Oturum açma türü 9’ ve ‘seclogo’ kimlik doğrulama yöntemleri aracılığıyla toplanan kimlik bilgileri kullanılarak başlatıldı. Hash girişinin yapılabilmesi için Kısıtlı Yönetici Modu açıldı.
Kayıt defterinde değişiklik yapılarak RDP bağlantılarına izin verilebilir.
Bunun yanı sıra uzaktan hizmet oluşturmada Cobalt Strike beacon’larının dağıtımı çeşitli payloadlar üzerinden yapılmaktadır.
Kimlik bilgileri erişiminde yer alan şifreyle ilgili belgelerin yanı sıra diğer hassas dosyalara da erişmek için WordPad kullanıldı. Bunun dışında sözleşmeler ve hukukla ilgili diğer dosya ve klasörler de ilgi çeken dosyalar arasında yer aldı.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.