Bilgisayar Korsanları Yetkisiz Erişim İçin Uzak Masaüstü Güvenlik Ayarını Düşürüyor

   Ekim 29, 2024  Posted in CyberSecurityNews


Bilgisayar Korsanları Uzak Masaüstü Güvenliğini Düşürüyor

Sağlık sektörünün hedef alındığı, kötü amaçlı LNK dosyalarından kaynaklanan çok aşamalı bir siber saldırı girişimi tespit edildi.

LNK dosyası yürütüldüğünde, uzak bir sunucudan BAT dosyaları ve PowerShell komut dosyaları gibi bir dizi ek yükü indirip çalıştıran bir PowerShell komutunu başlatır.

Hizmet Olarak SIEM

Cyble Research and Intelligence Labs (CRIL), Cyber ​​Security News ile yaptığı paylaşımda “Saldırı, kurbanın sisteminde bir yönetici hesabı oluşturulmasını ve kimlik doğrulama gereksinimlerini azaltmak için Uzak Masaüstü ayarlarının değiştirilmesini, saldırganın yetkisiz RDP erişimini basitleştirmeyi içeriyor” dedi.

Çok Aşamalı Siber Saldırı Kampanyasına Genel Bakış

İsimsiz bir grup, son 12 ay boyunca farklı cazip temalar ve değişmeyen saldırı yöntemleriyle sürekli olarak yeniden ortaya çıktı.

SIEM Fiyatlandırmanızı Yönetmek için En İyi Kılavuz -> Ücretsiz İndirin

HeptaX olarak takip edilen saldırı, savunmasız sunucuları ele geçirmek için öncelikle PowerShell ve Batch komut dosyalarını kullanıyor.

Saldırı zinciri

Başlangıçta indirilen PowerShell betiği, ek aşama yüklerini indirmek ve bilgi sunmak için kullandığı bir temel URL oluşturur. PowerShell betiğinin ilk işlevi, tehlikeye atılan sistemin benzersiz tanımlayıcısını (UID) elde etmektir.

Ayrıca, PowerShell betiği uzak sunucudan parola korumalı bir yem belgesi indirir ve onu başlatır. Bu komut dosyası temel olarak sistemin Kullanıcı Hesabı Denetimi (UAC) yapılandırmalarını değerlendirmeyi amaçlamaktadır.

Bunu, UAC’nin etkinleştirilip etkinleştirilmediğini ve yönetici onay isteminin hala etkin olup olmadığını belirlemek için daha önce kullanılan kayıt defteri kontrollerinin aynısını kullanarak yapar.

Sunucuya bağlandıktan sonra yeni bir PowerShell betiği başlatılır. Bu komut dosyası, uzak sunucuyla iletişim kurmak, verileri dışarı çıkarmak ve keşif sistemleriyle iletişim kurmak için tasarlanmış bir dizi özelliğe sahiptir.

  • Bilgisayar adı ve kullanıcı adı.
  • Şu dizinden en son dosyaları alır: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent.
  • “ipconfig /all” kullanarak ağ yapılandırma ayrıntılarını alır.
  • Makinedeki kullanıcıların listesi (net kullanıcı).
  • Geçerli oturum açmış kullanıcı ayrıntılarını alır.
  • Geçerli kullanıcıyla ilişkili yerel kullanıcı gruplarını tanımlar.
  • Windows Defender’da hariç tutulan dizinleri alır.
  • Yüklü antivirüs ürünlerini listeler.
  • “Görev listesi”ni kullanarak çalışan işlemleri yakalar.
  • “Systeminfo”yu kullanarak genel sistem bilgilerini toplayın.
  • Tüm bu veriler “C:\Windows\Temp\OneDriveLog\OneDrive.log” konumunda bulunan bir günlük dosyasına kaydedilir.

“Toplanan tüm bilgiler, Kullanıcı Hesabı Denetimi (UAC) devre dışı bırakıldığında ve yönetici ayrıcalıklarıyla oluşturulan “BootUEFI” adlı yeni bir kullanıcı hesabının yanı sıra Terminal Hizmetleri için kimlik doğrulama gereksinimlerinin azaltılmasıyla, TA’lar tehlikeye atılan uzak masaüstüne kolayca erişim sağlayabilir” , araştırmacılar söyledi.

Geçtiğimiz yıl boyunca, bu tehdit grubunun aşağıdaki gibi adlara sahip kötü amaçlı dosyalar içeren önceki kampanyalarla da bağlantısı kuruldu:

  • SOW_for_Nevrlate.pdf
  • WebContentWriting_Handout.pdf
  • Blockchain_Trading_Website_Manager.docx
  • Proje Açıklaması – jvope imzasından PoC akıllı asistanı Vhyro Projesi.pdf
  • Özgeçmiş – kendi gruplarıyla çalışma konusunda 40 yılı aşkın deneyime sahip profesyonel saksafon, klavye ve gitarist, dünya yıldızlarına eşlik ediyor.pdf
  • dropshipping Elien projesi önerisi-xihu.pdf.lnk’ten yumuşak çevrimiçi hizmet havalandırması

Bu kampanyanın dikkat çeken dosyaları arasında şunlar yer alıyor:

  • 202409_Resident_Care_Quality_Improvement_Strategies_for_Nursing_Homes_Enhancing_Patient_Satisfaction_and_Health_Outcomes.pdf.lnk

Dosya adlarının ve temalarının çeşitliliği, çeşitli sektörlerde geniş bir hedefleme yaklaşımına işaret ediyor; bu da bu çetenin kampanyalarını çeşitli kurbanlara hitap edecek şekilde özelleştirdiğini gösteriyor.

Öneriler

  • Zararlı ekleri belirlemek ve yayılmasını durdurmak için güçlü e-posta filtreleme araçlarını kullanın.
  • E-postalardaki bağlantılar veya eklerle çalışırken dikkatli olun.
  • E-posta eki kısayol dosyalarının (.lnk) yürütülmesini kapatmayı düşünün.
  • Kullanıcı Hesabı Denetimi (UAC) değişikliklerini düzenli olarak izleyin.
  • Ağ düzeyinde kimlik doğrulamayı (NLA) kullanarak ve çok faktörlü kimlik doğrulama (MFA) gibi güçlü kimlik doğrulama yöntemlerini uygulayarak Uzak Masaüstü Protokolü’nün (RDP) güvenliğini artırın.

Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!



Source link