Son yıllarda tehdit aktörü davranışlarında bir değişiklik olmuştur. Tehdit araştırmacıları tarafından yapılan gözlemler, faaliyetlerindeki değişimde bir zirve gösterdi.
O zamandan beri Microsoft, tehdit aktörleri tarafından kapsamlı bir şekilde istismar edilen ve fidye yazılımı saldırılarının ilk yolunu açan makroları varsayılan olarak devre dışı bıraktı.
Ekim 2021’de Microsoft, 2022’de kullanıma sunulan XL4 ve VBA makrolarını MS Office kullanıcıları için varsayılan olarak engelleyeceğini duyurdu. Kanıt noktası analizi ve raporu, tehdit aktörlerinin yük teslimi, eski dosya türleri ve öngörülemeyen saldırı zincirleri ile nasıl deneyler yaptığını gösterdi.
Ocak 2021 ile Mart 2023 arasında yürütülen Proofpoint araştırmasının raporlarına göre,
- Tehdit aktörleri, güvenilir veya tutarlı bir tekniği olmayan sızmanın en etkili yolunu araştırıyorlar. Birden fazla yöntem kullanılıyor.
- Bir tehdit grubu tarafından uygulanan yeni bir teknik, daha sonra diğer birkaç grup tarafından benimsenir.
- Çeşitli kötü amaçlı yazılım dağıtım yöntemleri, birçok gelişmiş e-suç aktörü tarafından test aşamasındadır.
Makro kullanan kampanyalarda düşüş yaşandı. 2021’e kıyasla, makro tabanlı kampanyalar 2022’de %66’ya kadar azaldı. 2023’te makro tabanlı kampanyaların kullanımı minimum düzeyde oldu.
Alternatif olarak, başlangıçta web işareti (MOTW) öznitelik kısıtlaması etrafında çalışan makro kısıtlamasını atlayan ISO eki tabanlı kampanyalar benimsendi. Ancak, Kasım 2022’de Microsoft tarafından düzeltildi.
Ayrıca, HTML kaçakçılığı, PDF tabanlı kampanyalar ve OneNote patlamaları, tehdit aktörlerinin benimsediği diğer birkaç yöntemdi.
Şubat 2023 kampanyalarına göre şu anda tehdit aktörleri tarafından dokuz farklı saldırı zinciri takip ediliyor.
- Zip Eki → OneNote Dosyası → HTA → Qbot DLL
- OneNote Eki → HTA → CURL → Qbot DLL
- URL → Zip → OneNote Dosyası → HTA → CURL → Qbot DLL
- PDF Eki → Aktör Kontrollü URL → Zip → ISO → LNK → CMD → EXE → Qbot DLL
- OneNote Eki → WSF → JScript → PowerShell → Qbot DLL
- PDF Eki → OneDrive URL’si → JavaScript Dosyası → PowerShell → Qbot DLL
- OneNote Eki → CMD → PowerShell → Qbot DLL
- OneNote Eki → CHM → PowerShell → Qbot DLL
- HTML Eki → Açılır Pencere → HTML Kaçakçılığı → Zip → Şifre → IMG → LNK → CMD → REG → WSF → PowerShell → Qbot DLL
Tehdit aktörleri tarafından kullanılan çeşitli teknikleri ve yöntemleri gösteren raporun eksiksiz ve ayrıntılı bir analizi Proofpoint tarafından yayınlandı.
Kullanıcılar, herhangi bir kötü amaçlı eki indirirken veya açarken dikkatli olmalı ve bu tehdit aktörlerine karşı tetikte olmalıdır.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin
