Hizmet olarak siber suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Saldırganlar Kötü Amaçlı Yazılım Eklemek İçin Klonlanmış WinSCP ve SpyBoy Web Sayfalarını Dağıtıyor
Prajeet Nair (@prajeetspeaks) •
3 Temmuz 2023
BlackCat hizmet olarak fidye yazılımı grubu, kötü amaçlı kötü amaçlı yazılımları dağıtmak için meşru kuruluşların web sayfalarında seçilen anahtar sözcükleri kullanarak bir tehdit etkinliği kümesi geliştiriyor.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Trend Micro araştırmacılarıyla birlikte isimsiz bir kuruluş, dosya aktarımı için açık kaynaklı bir Windows uygulaması olan WinSCP’nin klonlanmış bir web sayfasını kullanarak şirketin ağında yetkisiz faaliyetler gerçekleştiren siber suçluları keşfetti; ve ajanlar tarafından sağlanan korumayı kurcalayan bir sonlandırıcı olan SpyBoy.
Trend Micro raporuna göre, “Kötü amaçlı yazılım dağıtıcıları, kötü amaçlı reklamcılık olarak bilinen bir teknikle aynı işlevi kötüye kullanıyor – şüphelenmeyen arama motoru kullanıcılarını kötü amaçlı yazılım indirmeye çeken kötü amaçlı reklamlar görüntülemek için anahtar kelimeleri ele geçiriyor.”
Saldırganlar üst düzey yönetici ayrıcalıklarını çaldılar ve ayrıca uzaktan yönetim araçlarını kullanarak kalıcılık ve müşteri ortamına arka kapı erişimi sağlamaya çalıştılar.
Araştırmacılar, bu kampanyada kullanılan taktiklerde, BlackCat tarafından yürütülen önceki kampanyalarla benzerlikler gözlemledi.
Araştırmacılar, “Daha önce bahsedilen diğer kötü amaçlı yazılım türleri ve araçların yanı sıra, aracılar tarafından sağlanan korumaya müdahale etme girişiminde anti-virüs veya uç nokta algılama ve yanıt SpyBoy sonlandırıcısının kullanıldığını tespit edebildik” dedi.
Saldırganlar, verileri sızdırmak için bilgileri aktarmak üzere PuTTY Secure Copy istemcisini kullandı. Tehdit aktörü tarafından kullanılan komuta ve kontrol alanlarının daha fazla araştırılması, Clop fidye yazılımı ile olası bir ilişkinin keşfedilmesine yol açtı.
Saldırı Zinciri
SEO zehirlenmesi teknikleri kullanılarak, şüphelenmeyen kullanıcılar, kötü amaçlı yazılım içeren klonlanmış bir uygulamayı indirmeleri için kandırılır.
Araştırmacılar, “Genel enfeksiyon akışı, ilk yükleyicinin teslim edilmesini, bot çekirdeğinin getirilmesini ve nihayetinde tipik olarak bir arka kapı olan yükün bırakılmasını içerir” dedi.
Bu durumda WinSCP uygulaması, takip işlemleri için uzak bir sunucuya izin veren Cobalt Strike Beacon içeren bir arka kapı içeriyordu.
Araştırmacılar ayrıca, Active Directory ortamlarından bilgi almak ve görüntülemek için tasarlanmış AdFind gibi birkaç başka aracı kullanan tehdit aktörlerini de tespit etti.
Araştırmacılar, “Bir tehdit aktörünün elinde AdFind, kullanıcı hesaplarının numaralandırılması, ayrıcalık yükseltme ve hatta parola karması çıkarma için kötüye kullanılabilir” dedi. Kötü niyetli aktörler, kalıcılığı sağlamak için ortamdaki AnyDesk uzaktan yönetim aracını da kullandı.