Bilgisayar korsanları, More_Eggs kötü amaçlı yazılımları yaymak için sahte özgeçmişleri olan İK departmanlarını hedefleyin


TA4557 olarak da izlenen finansal olarak motive olmuş tehdit grubu Venom Örümcek, odağını yüksek hedefli bir mızrak aktı operasyonu ile kurumsal insan kaynakları (İK) departmanlarına kaydırdı.

Arctic Wolf Labs’ın araştırmasına göre, grup kötü niyetli özgeçmişlerle bağlanmış hileli iş başvuruları göndermek için meşru iş platformlarından ve mesajlaşma hizmetlerinden yararlanıyor.

More_Eggs kötü amaçlı yazılım
Sahte bir özgeçmiş sunan kötü niyetli web sitesi.

Bu aldatıcı belgeler, More_Eggs olarak bilinen, kimlik bilgisi hırsızlığı yapabilen, hassas müşteri ödeme verilerinin hasat edilmesi ve fikri mülkiyet veya ticari sırların çalınmasını sağlayabilen güçlü bir arka kapı dağıtmak için tasarlanmıştır.

– Reklamcılık –
Google Haberleri

İK hedeflemesi için bu taktik pivot, Venom Spider’ın potansiyel kurban havuzunu genişletiyor, çünkü her endüstri yeni yetenek kiralamaya dayanıyor ve bu kampanyayı dünya çapında kuruluşlar için önemli bir tehdit haline getiriyor.

More_eggs saldırı zincirinin teknik dökümü

Saldırı, bir özgeçmiş indirme sayfası olarak poz veren kötü amaçlı bir web sitesine bağlantı içeren İK yöneticileri ve işe alımcılarına yönelik bir mızrak aktı e-postasıyla başlar.

Tıklandıktan sonra, bağlantı kurbanların bir Captcha testinden geçmesi gereken aktör kontrollü bir siteye yol açar-otomatik tarayıcılardan kaçınmak için akıllı bir mekanizma.

Tamamlandıktan sonra, bir tuzak görüntüsü ve kötü niyetli Windows kısayolu (.lnk) dosyası içeren bir zip dosyası indirilir.

Sunucu tarafı polimorfizmi yoluyla her indirme için benzersiz bir şekilde oluşturulan bu .lnk dosyası, komutları gizlice yürütmek için ie4uinit.exe gibi meşru Windows yardımcı programlarını manipüle eden gizlenmiş bir toplu komut dosyası yerleştirir.

Bu karadan geçme (LOTL) tekniği, kullanıcıları gerçek bir özgeçmiş açtıklarına inanmak için yanlış yönlendirmek için WordPad gibi dikkat dağıtıcı uygulamaları başlatırken tespiti atlamaya yardımcı olur.

Sonraki aşamalar, doefstf gibi alanlardan gizlenmiş JavaScript yüklerinin indirilmesini içerir[.]Ryanberard[.]com, daha sonra regsvr32 aracılığıyla kaydedilmiş more_eggs_dropper kütüphanesini (DLL) dağıtır.

More_Eggs kötü amaçlı yazılım
Venom Spider’ın JavaScript Droper yükü.

Bu kütüphane, Sandbox analizini engellemek için zaman gecikmeli yürütme ile polimorfik JavaScript kodu oluşturarak kurbanın AppData dizininde ek kötü amaçlı dosyalar oluşturur.

Son More_Eggs arka kapı yükü, cihaza özgü anahtarlar (bilgisayar adını ve işlemci tanımlayıcısını birleştirerek) ve kaba zorlanmış şifre çözme bileşenleri ile gelişmiş şifreleme kullanır ve bu da yüklerin her bir enfekte olmuş sisteme benzersiz bir şekilde uyarlanmasını sağlar.

Etkin olduktan sonra, arka kapı, Araç gibi sunucularla kalıcı komut ve kontrol (C2) iletişim kurar[.]belediye[.]Org, tehdit aktörlerinin uzaktan komutları yürütmelerini, ek kötü amaçlı yazılımlar indirmesini ve hassas verileri dışarı atmasını sağlayan.

Bu kampanya, Venom Spider’ın gelişmiş kod gizlemesi, şifreli yükler ve Amazon ve Godaddy gibi platformlarda merkezi olmayan buluta barındırılmış altyapı da dahil olmak üzere rafine taktiklerini sergiliyor, izleme ve hafifletmeyi zorlaştırıyor.

Tarihsel olarak, perakende ve eczane gibi ABD’deki e-ticaret sektörlerini hedefleyen grubun İK’ya odaklanması, evrensel güvenlik açığı-recruiters’ın dış eklerin rutin kullanımı kullanıyor.

Rapora göre, Arctic Wolf, kuruluşların kimlik avı ile ilgili eğitim eğitimi aracılığıyla savunmaları desteklemelerini, güvenli e -posta ağ geçitlerini dağıtmasını ve uç nokta algılama ve yanıt (EDR) çözümlerini uygulamalarını önermektedir.

Ayrıca, bilinen C2 alanlarını açmadan ve engellemeden önce şüpheli dosya özelliklerini incelemek, bu tehdide karşı koymak için kritik adımlardır.

Venom Spider, More_Eggs kötü amaçlı yazılımlarını geliştirmeye devam ettikçe, uyanık ve proaktif siber güvenlik önlemleri bu sinsi sosyal mühendislik saldırılarına karşı korunmak için gereklidir.

Uzlaşma Göstergeleri (IOCS)

Artefakt/DosyaMD5Sha-256Tanım
More_eggs_dropper dllEC103191C61E4C5E55282F4FFB188156F7A405795F11421F0996BE0D0D0DA743CC5AF65F79E0B063BE6965C8FB8016Birincil polimorfik damlalık
IKSKCK.htm (2. aşamalı enfeksiyon)C16AA3276E4BCBBE212D5182DE12C2B7Bd49b2dbb669f920d96008047a81e847ba5c2fd12f55cfcc0b2b11f475cdf7fHtml/js yükleyici
More_eggs_js_backdoorEBB5FB96BF2D8DA2D9F0F6577766B9F12FEF6C59FBF16504DB9790FCC675938E2886148FC8ACAB84DBD4F1292875C6CJavaScript arka kapı
2da2f53fd969aa8004d0e10660d2ed10AF266246C905431E9982DEAB4AD38AA63D33A725F7F7675B23DD75CA4D83
1715853b95777541d90754744f41f58F87352564a6bd6bd162f07b9f7a137671054f7ef6e71d89a1398fb237c7a7b
46F142198EEEADC30C0B4DDFBF0B3FFD18478267738dfa09c82462821b1363dbec1191d843da5b73922e3ad19b06fb
B1E8602E283BBDF52DF642DD460A2A2CCB05CA9250093479A23C0C4D2C587C843974F229292A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8A8AD10942A8A8A8A8A8A8A8A8A
Dosya YollarıC: \ Kullanıcılar%Kullanıcı Adı%\ AppData \ Roaming \ Adobe $$ Çeşitli]
Ağ Göstergelerihxxp: // doefstf[.]Ryanberard[.]com/iKskck
hxxps: // araç[.]belediye[.]org/id/243149
hxxp: // dtde[.]Ryanberard[.]com/iKskck
Ek alan adları için ekli dosyaya bakın

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link