Nishang’ın Start-CaptureServer PowerShell betiğinin özelleştirilmiş sürümlerini kullanarak NTLMv2 karmalarını sızdıran “Steal-It” adlı yeni ve gelişmiş bir çalma kampanyası keşfedildi.
Steal-It kampanyasının, APT28 siber saldırısıyla benzerliklerinden dolayı APT28’e (diğer adıyla Fancy Bear) atfedilebileceğine inanılıyor.
Fancy Bear, hedefleri tehlikeye atmak için sıfır gün açıklarından yararlanan, hedef odaklı kimlik avı ve kötü amaçlı yazılım kullanan bir Rus siber casusluk grubudur.
Zscaler Threat Labs yakın zamanda kampanyanın taktiklerini ve enfeksiyon zincirini keşfederek raporunu paylaştı.
NTLMv2 Hash Çalma Enfeksiyon Zinciri
NTLMv2 hash çalan enfeksiyon zinciri, özelleştirilmiş bir Nishang’ın Start-CaptureServer PowerShell betiğini kullanarak ve çalınan karmaları sahte API’ler aracılığıyla Mockbin’e ileterek NTLMv2 karmalarını çalıyor.
SystemInfo Enfeksiyon Zincirini Çalıyor
Enfeksiyon zincirini çalan Systeminfo, kullanıcıları zincirin sonraki aşamalarını indirmeye ikna etmek için OnlyFans markasını kullanıyor ve bu da komut çıktılarını Mockbin’e sızdırıyor.
Fansly Whoami Exfil Enfeksiyon Zinciri
Fansly whoami exfil enfeksiyon zinciri, kullanıcıları zincirin sonraki aşamalarını indirmeye ikna etmek için Fansly markasını kullanıyor ve bu da komut çıktılarını Mockbin’e sızdırıyor.
Windows Güncelleme Exfil Enfeksiyon Zinciri
Belçika’daki kullanıcıları hedeflemek için coğrafi sınırlama tekniklerini kullanan bir LNK dosyasıyla birlikte gelen ZIP arşivi, kötü amaçlarla temel bilgileri toplamak için sistem komutlarını çalıştıran bir PowerShell betiğinin birden fazla aşamasını farkında olmadan indiriyor.
Tehdit aktörü, tüm enfeksiyon zincirleri arasında, sistem komutlarını çalıştırarak NTLM karmalarını çalmak ve sızdırmak için Nishang çerçevesinden özelleştirilmiş komut dosyaları kullandı.
Son olarak, ele geçirilen verileri ele geçirilen cihazdan çıkarmak için sahte API’ler kullanılır.
Modellerin açık görselleri, kurbanları The Fansly Whoami Exfil ve Exfil Sysinfo OnlyFans enfeksiyon zincirindeki ilk yükü yürütmeye ikna etmek için kullanılıyor.
Tehdit aktörleri, özellikle Avustralya, Polonya ve Belçika gibi bölgeleri hedef alan bir coğrafi sınırlama stratejisi kullanıyor.
Bir uç nokta oluşturma aracı olan Mockbin API ve sahte API’ler, NTLM karmaları ve komut çıktısı gibi çalınan verileri aktarmak için kullanılır.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, ikiTterve Facebook.