Kullanıcıları meşru araçlar gibi görünen kötü amaçlı yazılımları indirmeleri için kandırmaya yönelik arama motoru optimizasyonu (SEO) zehirleme teknikleri.
Bu saldırı kampanyası, popüler uygulamaların kimliğine bürünen BAT yürütülebilir dosyalar içeren sahte depoları ve arşivleri tanıtmak için arama sonuçlarının manipüle edilmesini içeriyor.
Kullanıcılar bu dosyaları çalıştırdıktan sonra kötü amaçlı yazılım, saldırganlara tam sistem erişimi sağlayan uzaktan yönetim araçları da dahil olmak üzere ikincil yükler sağlamak için komuta ve kontrol (C2) sunucularıyla bağlantı kurar.
Kullanıcılar bu sonuçlara tıkladıklarında meşru indirme sitelerini taklit edecek şekilde tasarlanmış kötü amaçlı barındırma altyapısına yönlendirilirler.
Bu platformlarda barındırılan ZIP arşivleri, otomatik olarak veya şüphelenmeyen kullanıcılar tarafından açıldığında yürütülen BAT dosyaları toplu komut dosyalarını içerir.
Bu BAT dosyaları, iyi bilinen uygulamaların ve yardımcı programların kimliğine bürünmek için dikkatle hazırlanmıştır. Yürütme sırasında komut dosyaları, ek yükleri almak için saldırganın kontrolündeki C2 sunucularıyla iletişim kurar.
Kampanya, aktif olarak belirli yazılım çözümleri arayan kullanıcıları hedef alan çok aşamalı bir bulaşma sürecini gösteriyor; tehdit aktörleri, arama sonuçlarında üst sıralarda yer alan sahte sayfalar ve depolar oluşturarak arama dizinlerini zehirliyor.
Bu iki aşamalı yaklaşım, saldırganların saldırı stratejilerinde esnek kalmalarına, hedeflerine ve hedef sistem yapılandırmasına bağlı olarak farklı uzaktan yönetim araçlarını veya kötü amaçlı yazılım türlerini kullanmalarına olanak tanır.
Depoların Rolü
Saldırganlar, kötü amaçlı arşivlerini barındırmak için meşru ve sahte çevrimiçi depoları kötüye kullandılar.
Tehdit aktörleri, veri deposu platformlarından yararlanarak, ister tehlikeye atılan meşru hizmetler, ister yeni oluşturulan sahte hizmetler olsun, sundukları tekliflerin meşruiyeti algısını artırır.
Açık kaynaklı araçlar veya yardımcı programlar arayan kullanıcılar, orijinal kaynaklara eriştiklerini varsayarak bilmeden bu zehirli depolardan indirme yapabilirler.
ZIP sıkıştırmasının kullanılması aynı zamanda veri yükünün gerçek doğasını da maskeler. Kullanıcılar, güvenlik sistemlerinin içerikleri zaten incelediğine inanarak genellikle depolardan indirilen arşiv dosyalarına güvenir.
Ancak bu arşivlerdeki BAT dosyaları çalıştırıldığında, kötü amaçlı yazılımın yetenekleri ancak enfeksiyon sisteme kök saldıktan sonra ortaya çıkıyor.
Saldırı kampanyası, güvenlik araştırmacılarının güvenliği ihlal edilmiş sistemleri tanımlamak için kullanabileceği çeşitli karakteristik unsurları içerir. ZIP arşiv adları genellikle meşru yazılım dağıtımlarını yansıtır ve ilk bakışta orijinal görünmelerini sağlar.
BAT dosyaları, güvenlik uyarılarının tetiklenmesini önlemek için gizleme ve meşru sistem komutlarını kullanır.
Bu komut dosyaları yürütüldükten sonra saldırganın altyapısına ağ isteklerinde bulunur, kalıcılık mekanizmaları kurar ve uzaktan yönetim araçlarını indirir.
Savunma Tedbirleri
Kuruluşların ve bireysel kullanıcıların bu tehdidi azaltmak için çeşitli uygulamaları benimsemesi gerekmektedir. İlk olarak, yazılımı keşfetmek için arama sonuçlarına güvenmek yerine doğrudan resmi proje web sitelerini ziyaret ederek indirme kaynaklarını doğrulayın.
İkinci olarak, indirilen dosyaları, özellikle de bilinmeyen kaynaklardan indirilen dosyaları, yürütmeden önce güvenlik araçlarını kullanarak inceleyin.
Üçüncüsü, yetkisiz BAT ve çalıştırılabilir dosyaların çalışmasını önlemek için uygulama beyaz listeye alma politikalarını uygulayın.
Bu SEO zehirlenmesi kampanyası, arama tabanlı sosyal mühendislik saldırılarının oluşturduğu kalıcı tehdidi vurgulamaktadır.
Uç nokta algılama ve yanıt (EDR) çözümleri, şüpheli BAT dosyası yürütmesini, Windows komut dosyaları tarafından başlatılan olağandışı ağ bağlantılarını ve yetkisiz uzaktan erişim aracı kurulumlarını izlemelidir.
Ağ güvenliği ekipleri bilinen C2 altyapısını engellemeli ve kullanıcı iş istasyonlarından gelen giden bağlantıları kötü amaçlı iletişim belirtileri açısından izlemelidir.
Saldırganlar, meşru görünen dağıtım mekanizmalarını kötü amaçlı yüklerle birleştirerek, ilk keşif ile sistemin ele geçirilmesi arasındaki boşluğu etkili bir şekilde kapatıyor.
Güvenlik farkındalığı eğitiminde, indirme kaynaklarının doğrulanmasının önemi ve dosyaların güvenilmeyen kaynaklardan çalıştırılmasıyla ilişkili riskler vurgulanmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.