Microsoft’un Güvenlik Tehdit İstihbaratı ekibinin yakın tarihli bir analizine göre, bilgisayar korsanları, kampanyalarından birinde Google Ads’i kullanarak birkaç veriyi dağıttı ve bu da Royal fidye yazılımının yayılmasına neden oldu.
Microsoft, Ekim 2022’nin sonlarında güncellenmiş kötü amaçlı yazılım dağıtım tekniğini keşfettikten sonra grubu “DEV-0569” olarak izliyor.
Microsoft’un Güvenlik Tehdit İstihbaratı ekibi, “Gözlemlenen DEV-0569 saldırıları, artan fidye yazılımı kolaylaştırmasının yanı sıra yeni keşif tekniklerinin, savunmadan kaçınmanın ve çeşitli uzlaşma sonrası yüklerin düzenli olarak dahil edilmesiyle sürekli bir yenilik modelini gösteriyor”, Microsoft’un Güvenlik Tehdit İstihbaratı ekibi
DEV-0569’un özellikle odaklandığı teknikler, kötü amaçlı yazılım indirenlerin kendilerini yazılım yükleyicileri veya spam e-postalara, sahte forum sayfalarına ve blog yorumlarına yerleştirilmiş güncellemeler olarak gizlemelerine yol açan kötü amaçlı reklamcılık ve kimlik avı Köprüleridir.
DEV-0569’un Taktikleri, Teknikleri ve Prosedürleri (TTP’ler)
Araştırmacılar, DEV-0569 işleminin, imzalanmış ikili dosyaları kullanarak kötü amaçlı yazılım yüklerini dağıttığını söylüyor. Grup çoğunlukla savunma kaçırma tekniklerine güveniyor ve ayrıca antivirüs ürünlerini denemek ve devre dışı bırakmak için sonraki kampanyalarda açık kaynaklı Nsudo uygulamasını kullanıyor.
‘BATLOADER’ olarak bilinen kötü amaçlı yazılım indiricileri, kendilerini Microsoft Teams veya Zoom gibi güvenilir programların yükleyicileri veya güncellemeleri olarak gizler.
BATLOADER başlatıldığında, kötü amaçlı PowerShell etkinliklerini başlatmak veya güvenlik araçlarını devre dışı bırakmaya yardımcı olan toplu komut dosyalarını yürütmek ve şifresi çözülen ve PowerShell komutlarıyla başlatılan çeşitli şifreli kötü amaçlı yazılım yüklerini teslim etmek için MSI Özel Eylemlerinden yararlanır.
Rapora göre, kimlik avı e-postalarındaki kötü amaçlı bağlantılar yoluyla iletilen ve TeamViewer, Adobe Flash Player, Zoom ve AnyDesk gibi çok sayıda uygulama için yasal yükleyiciler gibi görünen BATLOADER,
Ayrıca, yasal yazılım indirme siteleri (anydeskos) gibi davranan saldırganlar tarafından oluşturulan etki alanlarında barındırılıyordu.[.]com) ve GitHub ve OneDrive gibi meşru depolarda.
DEV-0569, Eylül 2022’de, İniş Alanının Teamviewer Yükleyici Kılığında BATLOADER’ı Barındırdığı Yerde Gözlemlendi
Microsoft ayrıca, birinci aşama yüklerini yasal yazılım olarak gizlemek için Sanal Sabit Disk (VHD) gibi dosya biçimlerinin kullanıldığını fark etti.
Ek olarak, bu VHD’lerde DEV-0569 ile ilişkili kötü amaçlı yazılım yüklerinin indirilmesini tetikleyen kötü amaçlı komut dosyaları bulunur.
Ayrıca, PowerShell ve toplu betikler dahil olmak üzere çeşitli bulaşma zincirleri kullandı ve bu da sonunda bilgi hırsızları veya ağ sürekliliği için kullanılan meşru bir uzaktan yönetim aracı dahil olmak üzere kötü amaçlı yazılım yüklerinin indirilmesine neden oldu.
Microsoft, DEV-0569’un virüsten koruma çözümlerini devre dışı bırakmak için açık kaynaklı NSudo aracını kullandığını fark etti. Ayrıca, kimlik avı bağlantıları sağlamak için hedeflenen kuruluşların web sitelerindeki iletişim formlarını da kullandılar.
Microsoft tarafından gözlemlenen taktiklere dayanarak, fidye yazılımı saldırganları, BATLOADER tarafından sağlanan bir Cobalt Strike Beacon implantı aracılığıyla güvenliği ihlal edilmiş ağlara büyük olasılıkla erişim sağladı. Ek olarak, çeteyi Emotet, IcedID ve Qakbot gibi kötü amaçlı yazılımlara katılarak diğer fidye yazılımı operasyonları için bir ilk erişim aracısı olarak hareket etmek için daha iyi bir konuma getiriyor.
“Ağ koruması ve Microsoft Defender SmartScreen gibi çözümler, kötü amaçlı bağlantı erişimini engellemeye yardımcı olabilir. Office 365 için Microsoft Defender, bilinen modeller için e-posta gövdesini ve URL’yi inceleyerek kimlik avına karşı korunmaya yardımcı olur”, Microsoft.
Azure Active Directory Güvenliği – Ücretsiz E-Kitap İndirin