Siber güvenlik araştırmacıları, tehdit aktörlerinin istiridye arka kapı kötü amaçlı yazılımlarını içeren sahte Microsoft ekipleri yükleyicilerini dağıtmak için kötü amaçlı reklamlar ve arama motoru optimizasyonu zehirlenmesi kullandıkları karmaşık bir kampanya belirlediler.
Kampanya, arama motorları aracılığıyla meşru Microsoft Teams indirmelerini arayan kullanıcıları hedefliyor.
Kullanıcılar “Takımlar İndir” gibi terimleri aradıklarında, resmi Microsoft indirme sayfalarını yakından taklit eden hileli sponsorlu reklamlarla karşılaşırlar.
Bu kötü niyetli reklamlar, kurbanları meşru ekipler yazılımı olarak gizlenmiş truva atlı yükleyicileri barındıran sahte web sitelerine yönlendirir.
Tanımlanan bir saldırı alanı, takımlar[.]Üstte, şüphesiz kullanıcılara kötü amaçlı msteamssetup.exe dosyaları sundu.
Sahte montajcılar otantik görünür ve hatta temel güvenlik kontrollerini atlamak ve kullanıcı şüphesini azaltmak için “4. Devlet Oy” ve “NRM Network Risk Yönetimi A.Ş.” gibi kuruluşlardan dijital imzalar içerir.
Oyster Backdoor Dağıtım
Yürütme üzerine, kötü amaçlı kurulumcu, Blackpoint Cyber tarafından bildirildiği gibi, kalıcı uzaktan erişim için tasarlanmış modüler çok aşamalı bir kötü amaçlı yazışan Süpürge olarak da bilinen istiridye arka kapısını dağıtır.
Kötü amaçlı yazılım, CaptureService.dll adlı bir DLL dosyasını, kullanıcının %AppData %\ Roaming dizini içinde rastgele oluşturulan bir klasöre bırakır.
Kalıcılığı korumak için, kötü amaçlı yazılım, kötü niyetli DLL’yi yüklemek için düzenli olarak Rundll32.exe’yi yürüten “CaptureService” adlı zamanlanmış bir görev oluşturur.
Bu teknik, arka kapının, tehlikeye atılan sistemlere uzun vadeli erişimi sürdürürken normal Windows sistem etkinliğine karışmasını sağlar.
Oyster Backdoor, saldırganlara uzak sistem erişimi, ana bilgisayar bilgi toplama, komut ve kontrol iletişimleri ve ek yükler dağıtma yeteneği gibi kapsamlı özellikler sağlar.
Bu kampanya sırasında araştırmacılar, Nickbush24 dahil olmak üzere saldırgan kontrollü alanlarla iletişim kuran kötü amaçlı yazılımları gözlemlediler.[.]com ve TechWisenetwork[.]com.
Bu kampanya, siber suçluların güvenilir yazılım markalarını ilk sistem erişimini sağlamak için silahlandırdığı tekrarlayan bir eğilimi gösteren önceki sahte macun dağıtım kampanyalarına çarpıcı bir benzerlik taşıyor.
Saldırganlar, geniş çapta kullanılan kurumsal işbirliği araçlarını taklit ederek, gizli enfeksiyon şansını arttırırken gizli enfeksiyon şansını artırır.
Güvenlik ekipleri, “CaptureService” adlı yeni planlanan görevler de dahil olmak üzere çeşitli temel göstergeleri izlemelidir.
Kuruluşlar çeşitli güvenlik önlemleri uygulayarak kendilerini koruyabilir:
- Yazılımı yalnızca arama sonuçları yerine resmi satıcı alanlarından indirmek
- Güvenilir yazılım indirmeleri için kaydedilmiş yer işaretlerini kullanma
- İmzasız veya güvenilmeyen yükleyicileri engellemek için izin verme kontrollerinin dağıtılması ve kötü niyetli ve SEO zehirlenme riskleri hakkında kullanıcı eğitimi sağlama.
Kampanya, tehdit aktörlerinin tanıdık kurumsal yazılımlara ve arama motoru sonuçlarına enfeksiyon engellerini düşürecek şekilde kullanıcı güvenini nasıl kullanmaya devam ettiğini vurgulamaktadır.
Koruma tekniklerini emtia kötü amaçlı yazılım aileleriyle birleştirerek, saldırganlar geleneksel güvenlik kontrollerinden kaçabilecek etkili saldırı vektörleri oluştururlar.
Güvenlik uzmanları, kurumsal yazılım indirmelerini hedefleyen bu giderek daha sofistike sosyal mühendislik saldırılarıyla mücadele etmek için kullanıcı farkındalık eğitiminin ve teknik kontrollerin önemini vurgulamaktadır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.