TA4557 olarak da izlenen finansal olarak motive olmuş tehdit grubu Venom Örümcek, odağını yüksek hedefli bir mızrak aktı operasyonu ile kurumsal insan kaynakları (İK) departmanlarına kaydırdı.
Arctic Wolf Labs’ın araştırmasına göre, grup kötü niyetli özgeçmişlerle bağlanmış hileli iş başvuruları göndermek için meşru iş platformlarından ve mesajlaşma hizmetlerinden yararlanıyor.
Bu aldatıcı belgeler, More_Eggs olarak bilinen, kimlik bilgisi hırsızlığı yapabilen, hassas müşteri ödeme verilerinin hasat edilmesi ve fikri mülkiyet veya ticari sırların çalınmasını sağlayabilen güçlü bir arka kapı dağıtmak için tasarlanmıştır.
.png
)
İK hedeflemesi için bu taktik pivot, Venom Spider’ın potansiyel kurban havuzunu genişletiyor, çünkü her endüstri yeni yetenek kiralamaya dayanıyor ve bu kampanyayı dünya çapında kuruluşlar için önemli bir tehdit haline getiriyor.
More_eggs saldırı zincirinin teknik dökümü
Saldırı, bir özgeçmiş indirme sayfası olarak poz veren kötü amaçlı bir web sitesine bağlantı içeren İK yöneticileri ve işe alımcılarına yönelik bir mızrak aktı e-postasıyla başlar.
Tıklandıktan sonra, bağlantı kurbanların bir Captcha testinden geçmesi gereken aktör kontrollü bir siteye yol açar-otomatik tarayıcılardan kaçınmak için akıllı bir mekanizma.
Tamamlandıktan sonra, bir tuzak görüntüsü ve kötü niyetli Windows kısayolu (.lnk) dosyası içeren bir zip dosyası indirilir.
Sunucu tarafı polimorfizmi yoluyla her indirme için benzersiz bir şekilde oluşturulan bu .lnk dosyası, komutları gizlice yürütmek için ie4uinit.exe gibi meşru Windows yardımcı programlarını manipüle eden gizlenmiş bir toplu komut dosyası yerleştirir.
Bu karadan geçme (LOTL) tekniği, kullanıcıları gerçek bir özgeçmiş açtıklarına inanmak için yanlış yönlendirmek için WordPad gibi dikkat dağıtıcı uygulamaları başlatırken tespiti atlamaya yardımcı olur.
Sonraki aşamalar, doefstf gibi alanlardan gizlenmiş JavaScript yüklerinin indirilmesini içerir[.]Ryanberard[.]com, daha sonra regsvr32 aracılığıyla kaydedilmiş more_eggs_dropper kütüphanesini (DLL) dağıtır.
Bu kütüphane, Sandbox analizini engellemek için zaman gecikmeli yürütme ile polimorfik JavaScript kodu oluşturarak kurbanın AppData dizininde ek kötü amaçlı dosyalar oluşturur.
Son More_Eggs arka kapı yükü, cihaza özgü anahtarlar (bilgisayar adını ve işlemci tanımlayıcısını birleştirerek) ve kaba zorlanmış şifre çözme bileşenleri ile gelişmiş şifreleme kullanır ve bu da yüklerin her bir enfekte olmuş sisteme benzersiz bir şekilde uyarlanmasını sağlar.
Etkin olduktan sonra, arka kapı, Araç gibi sunucularla kalıcı komut ve kontrol (C2) iletişim kurar[.]belediye[.]Org, tehdit aktörlerinin uzaktan komutları yürütmelerini, ek kötü amaçlı yazılımlar indirmesini ve hassas verileri dışarı atmasını sağlayan.
Bu kampanya, Venom Spider’ın gelişmiş kod gizlemesi, şifreli yükler ve Amazon ve Godaddy gibi platformlarda merkezi olmayan buluta barındırılmış altyapı da dahil olmak üzere rafine taktiklerini sergiliyor, izleme ve hafifletmeyi zorlaştırıyor.
Tarihsel olarak, perakende ve eczane gibi ABD’deki e-ticaret sektörlerini hedefleyen grubun İK’ya odaklanması, evrensel güvenlik açığı-recruiters’ın dış eklerin rutin kullanımı kullanıyor.
Rapora göre, Arctic Wolf, kuruluşların kimlik avı ile ilgili eğitim eğitimi aracılığıyla savunmaları desteklemelerini, güvenli e -posta ağ geçitlerini dağıtmasını ve uç nokta algılama ve yanıt (EDR) çözümlerini uygulamalarını önermektedir.
Ayrıca, bilinen C2 alanlarını açmadan ve engellemeden önce şüpheli dosya özelliklerini incelemek, bu tehdide karşı koymak için kritik adımlardır.
Venom Spider, More_Eggs kötü amaçlı yazılımlarını geliştirmeye devam ettikçe, uyanık ve proaktif siber güvenlik önlemleri bu sinsi sosyal mühendislik saldırılarına karşı korunmak için gereklidir.
Uzlaşma Göstergeleri (IOCS)
| Artefakt/Dosya | MD5 | Sha-256 | Tanım |
|---|---|---|---|
| More_eggs_dropper dll | EC103191C61E4C5E55282F4FFB188156 | F7A405795F11421F0996BE0D0D0DA743CC5AF65F79E0B063BE6965C8FB8016 | Birincil polimorfik damlalık |
| IKSKCK.htm (2. aşamalı enfeksiyon) | C16AA3276E4BCBBE212D5182DE12C2B7 | Bd49b2dbb669f920d96008047a81e847ba5c2fd12f55cfcc0b2b11f475cdf7f | Html/js yükleyici |
| More_eggs_js_backdoor | EBB5FB96BF2D8DA2D9F0F6577766B9F1 | 2FEF6C59FBF16504DB9790FCC675938E2886148FC8ACAB84DBD4F1292875C6C | JavaScript arka kapı |
| 2da2f53fd969aa8004d0e10660d2ed1 | 0AF266246C905431E9982DEAB4AD38AA63D33A725F7F7675B23DD75CA4D83 | “ | |
| 1715853b95777541d90754744f41f58 | F87352564a6bd6bd162f07b9f7a137671054f7ef6e71d89a1398fb237c7a7b | “ | |
| 46F142198EEEADC30C0B4DDFBF0B3FFD | 18478267738dfa09c82462821b1363dbec1191d843da5b73922e3ad19b06fb | “ | |
| B1E8602E283BBDF52DF642DD460A2A2 | CCB05CA9250093479A23C0C4D2C587C843974F229292A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8AD10942A8A8A8A8A8A8A8A8A | “ | |
| Dosya Yolları | – | – | C: \ Kullanıcılar%Kullanıcı Adı%\ AppData \ Roaming \ Adobe $$ Çeşitli] |
| Ağ Göstergeleri | – | – | hxxp: // doefstf[.]Ryanberard[.]com/iKskck |
| hxxps: // araç[.]belediye[.]org/id/243149 | |||
| hxxp: // dtde[.]Ryanberard[.]com/iKskck | |||
| Ek alan adları için ekli dosyaya bakın |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!