FortiMail olay müdahale ekibinin yakın tarihli bir keşfi, İspanya, İtalya ve Portekiz’deki kuruluşları hedefleyen son derece sofistike bir e -posta kampanyası ortaya koydu.
Bu saldırı, esas olarak Windows sistemlerini etkileyen, aynı zamanda Java Runtime ortamının (JRE) kurulduğu Linux ve MacOS ortamlarına bir tehdit oluşturan, Ratty olarak bilinen güçlü bir uzaktan erişim Trojan (sıçan) dağıtır.
Kampanya, çeşitli alan adları adına e -posta gönderme, SPF (Gönderen İlkesi Çerçevesi) kontrollerini geçme ve e -posta güvenlik filtrelerini endişe verici bir şekilde atlama yetkisine sahip meşru İspanyol e -posta hizmet sağlayıcısı ServioDecorreo.es’den yararlanır.
.png
)
Bu aldatıcı meşruiyet, gelişmiş kaçırma taktikleri ile birleştiğinde, saldırganların komutlar, günlük tuş vuruşları, erişim dosyaları ve hatta web kameralarını veya mikrofonları etkinleştirme yeteneği de dahil olmak üzere enfekte sistemler üzerinde tam kontrol sağlayan kötü amaçlı yükler sunmalarını sağlar.
Çok katmanlı kaçırma taktikleri ve enfeksiyon zinciri
Enfeksiyon zinciri, fatura olarak gizlenmiş bir PDF eki içeren görünüşte zararsız bir e -posta ile başlar, genellikle sosyal mühendislik yoluyla alıcılardan aceleci eylemi teşvik etmek için acil bir dil taşır.
PDF’yi açtıktan sonra, kullanıcılara bir Dropbox bağlantısı aracılığıyla “Fattura” (“Fatura” için İtalyan) adlı bir HTML dosyası indirmeleri talimatı verilir.
Bu dosya, saldırının kökenini maskelemek için kullanılan bir tünelleme aracı olan NGROK aracılığıyla dinamik olarak oluşturulan bir URL’ye yönlendirmeden önce temel bir “Ben bir robot değilim” doğrulaması içerir.
Ngrok’un coğrafi tabanlı gizlenmesi, belirtilen coğrafi konum içindeki kurbanlara kötü amaçlı bir JAR dosyası (FA-43-03-2025.jar) sunarken, İtalya gibi hedeflenen bölgelerin dışındaki kullanıcılara zararsız içerik (örn. Google Drive belgesi) sunarak algılamayı daha da karmaşıklaştırır.
Mediafire gibi meşru platformlarda barındırılan bu JAR dosyası, Java’nın her yerde bulunması nedeniyle platformlar arası sömürü yapabilen Java tabanlı bir sıçan olan Ratty kötü amaçlı yazılım içerir.
Rapora göre, kampanyanın güvenilir dosya paylaşım hizmetleri ve jeo-fencing teknikleri kullanımı, güvenlik sistemleri ve kum havuzları genellikle hedefli olmayan yerlerden analiz ederek kötü niyetli yükü eksik olduğu için erken tespit risklerini önemli ölçüde azaltır.
Bu çok katmanlı strateji, meşru altyapıların kötüye kullanılması ile birleştiğinde, kötü amaçlı yazılım dağıtım metodolojilerinin artan karmaşıklığını vurgular ve geleneksel güvenlik önlemlerini bu tür hedefli saldırılara karşı daha az etkili hale getirir.
Fortinet’in Fortimail, Fortiguard Services ve Fortisandbox dahil olmak üzere koruyucu çözümleri, antivirüs imzaları, içerik silahsızlandırılması ve gerçek zamanlı aksisyenlik karşıtı yetenekleri aracılığıyla bu tehditleri tespit ederek ve engelleyerek sağlam savunmalar sunuyor.
Ayrıca Fortinet, bu tür saldırılar için kritik bir giriş noktası olan insan hatasını azaltmak için güvenlik bilinci eğitimi (SAT) ve kimlik avı simülasyonları yoluyla kullanıcı eğitiminin önemini vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
Referans ve azaltma amaçları için bu kampanyayla ilişkili teknik göstergeler aşağıdadır:
| Tip | Gösterge |
|---|---|
| IP adresleri | 143.47.53.106, 130.51.20.126, 199.232.214.172, 199.232.210.172 |
| Alanlar | jw8ndw9ev.localto.net, l5ugb6qxh.localto.net |
| SHA256 Hashes | A1C2861A68B2A4D62B6FBFC7534F498 CEFE5F92F72046D24AE1B66BC9F5731, D20D14792C91107F5331F7DF83B9CD98AD3C394959A74E72227868222B600, 9184FF2CD05FCAF111DB23123479C845B2ECE2FEDCCC2524B2DE592F9980876, 5F897FEC78E2FD812B3BC45122E64480A9D5BC97B746CC0468698A63470880, 6153C80B17CB990CAAD1D80CAC72C867D4ECFA1A84B7AB286B7373CD4168794E, 46B8911FD1AE2DED8532A50E9E66B8D54820C18CDBA49D7A3850D6AF54475, AF8B6AC45918BC87D2A164FAE888DAB6E623327CBA7C240E4D0EF1DDE8D1793 |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir