Siber güvenlik araştırmacıları, muhtemelen bir uzaktan erişim truva atı (RAT) dağıtma amacıyla kötü amaçlı yükleri yaymak için sosyal medyadaki özel mesajlardan yararlanan yeni bir kimlik avı kampanyasını ortaya çıkardı.
ReliaQuest, The Hacker News ile paylaşılan bir raporda, etkinliğin “Dinamik Bağlantı Kitaplığı (DLL) yandan yüklemesi yoluyla silahlandırılmış dosyaları meşru, açık kaynaklı bir Python pen-test komut dosyasıyla birleştirerek” teslim ettiğini söyledi.
Saldırı, LinkedIn üzerinden gönderilen mesajlar yoluyla yüksek değerli kişilere yaklaşmayı, güven oluşturmayı ve onları kötü amaçlı bir WinRAR kendi kendine açılan arşivi (SFX) indirmeleri için kandırmayı içeriyor. Arşiv başlatıldığında dört farklı bileşen çıkarılıyor:
- Meşru bir açık kaynaklı PDF okuyucu uygulaması
- PDF okuyucu tarafından dışarıdan yüklenen kötü amaçlı bir DLL
- Python yorumlayıcısının taşınabilir bir yürütülebilir dosyası (PE)
- Muhtemelen tuzak görevi gören bir RAR dosyası
PDF okuyucu uygulaması çalıştırıldığında enfeksiyon zinciri etkinleştirilir ve hileli DLL’nin başka bir yere yüklenmesine neden olur. DLL yandan yükleme kullanımı, meşru süreçlerden yararlanarak kötü amaçlı etkinlik belirtilerini tespit etmekten kaçınmak ve gizlemek için tehdit aktörleri tarafından benimsenen giderek yaygınlaşan bir teknik haline geldi.
Geçen hafta, en az üç belgelenmiş kampanya, diğer emtia truva atları ve bilgi hırsızlarının yanı sıra LOTUSLITE ve PDFSIDER olarak takip edilen kötü amaçlı yazılım ailelerini sunmak için DLL yan yüklemesinden yararlandı.
ReliaQuest tarafından gözlemlenen kampanyada, dışarıdan yüklenen DLL, Python yorumlayıcısını sisteme bırakmak ve Python yorumlayıcısının her oturum açmada otomatik olarak yürütülmesini sağlayan bir Windows Kayıt Defteri Çalıştırma anahtarı oluşturmak için kullanılıyor. Yorumlayıcının birincil sorumluluğu, diskte adli yapıtların kalmasını önlemek için doğrudan bellekte yürütülen Base64 kodlu açık kaynaklı bir kabuk kodunu yürütmektir.
Son yük, harici bir sunucuyla iletişim kurmaya çalışarak, saldırganlara ele geçirilen ana makineye kalıcı uzaktan erişim izni verir ve ilgilenilen verileri sızdırır.
Meşru açık kaynak araçlarının kötüye kullanılması, sosyal medya platformları üzerinden gönderilen kimlik avı mesajlarının kullanımıyla birleştiğinde, kimlik avı saldırılarının yalnızca e-postalarla sınırlı olmadığını ve alternatif dağıtım yöntemlerinin, başarı şansını artırmak ve kurumsal ortamlara sızmak için güvenlik açıklarından yararlanabileceğini gösteriyor.
ReliaQuest, The Hacker News’e, çeşitli sektör ve bölgeleri kapsayan kampanyanın geniş ve fırsatçı göründüğünü söyledi. “Bununla birlikte, bu aktivite doğrudan mesajlarla gerçekleştiğinden ve sosyal medya platformları genellikle e-postadan daha az izlendiğinden, tam ölçeği ölçmek zordur” diye ekledi.
Siber güvenlik şirketi, “Bu yaklaşım, saldırganların tespitleri atlamasına ve operasyonlarını minimum çabayla ölçeklendirmesine olanak tanırken, güvenliği ihlal edilmiş sistemler üzerinde sürekli kontrol sağlamalarına olanak tanıyor” dedi. “İçeriye girdikten sonra ayrıcalıkları artırabilir, ağlar arasında yatay olarak hareket edebilir ve verileri sızdırabilirler.”
Bu, LinkedIn’in hedefli saldırılar için kötüye kullanıldığı ilk durum değil. Son yıllarda, CryptoCore ve Contagious Röportaj kampanyalarıyla bağlantılı olanlar da dahil olmak üzere çok sayıda Kuzey Koreli tehdit aktörü, iş fırsatı bahanesiyle LinkedIn üzerinden kurbanlarla iletişime geçerek ve onları sözde değerlendirme veya kod incelemesi kapsamında kötü niyetli bir proje yürütmeye ikna ederek mağdurları belirledi.
Mart 2025’te Cofense ayrıca, alıcıların “Daha Fazla Oku” veya “Yanıtla” düğmesini tıklamasını ve kurban ana bilgisayarlar üzerinde tam kontrol elde etmek için ConnectWise tarafından geliştirilen uzak masaüstü yazılımını indirmesini sağlamak için LinkedIn InMail bildirimleriyle ilgili tuzaklar kullanan LinkedIn temalı bir kimlik avı kampanyasını da ayrıntılı olarak açıkladı.
ReliaQuest, “İşletmeler tarafından yaygın olarak kullanılan sosyal medya platformları, çoğu kuruluşun güvenlik duruşunda bir boşluğu temsil ediyor” dedi. “Kuruluşların güvenlik izleme araçlarına sahip olduğu e-postanın aksine, sosyal medyadaki özel mesajlar görünürlük ve güvenlik kontrollerinden yoksundur, bu da onları kimlik avı kampanyaları için cazip bir dağıtım kanalı haline getiriyor.”
“Kuruluşlar sosyal medyayı ilk erişim için kritik bir saldırı yüzeyi olarak tanımalı ve savunmalarını e-posta merkezli kontrollerin ötesine taşımalıdır.”