Secureworks Karşı Tehdit Birimi (CTU) tarafından toplanan istihbarata göre, ilk olarak 2022 baharında keşfedilen ve fidye yazılımı çeteleri tarafından BazarLoader’ın yerine geçmesi için tercih edilen bir yükleme aracı olan tehlikeli Bumblebee kötü amaçlı yazılımının, Google’dakiler de dahil olmak üzere kötü amaçlı çevrimiçi reklamlar aracılığıyla yayıldığı gözlemlendi. ).
Söz konusu reklamlar, Cisco AnyConnect, Citrix Workspace ve Zoom gibi uzak çalışanlar tarafından tercih edilen ve aynı zamanda üretken yapay zeka (AI) oyun ChatGPT gibi popüler ve yüksek profilli uygulamalarla bağlantılıdır. Meşru yazılım arayışındaki farkında olmayan kullanıcılar, bu reklamlar tarafından yayılan sahte indirme sayfaları aracılığıyla Bumblebee’yi yüklemeleri için kandırılır.
Vahşi doğada Bumblebee’nin artan yaygınlığı, CTU ekibinin Google’daki kötü amaçlı reklamlar aracılığıyla dağıtılan truva atı içeren yazılımları veya arama motoru optimizasyonu (SEO) zehirlenmesini (kötü amaçlı içeriğin ortaya çıkmasını sağlamak için meşru SEO tekniklerinin kullanılması) içeren saldırılarda gördüğü genel bir artışla uyumludur. arama sıralamasında üst sıralarda.
“Uzaktan çalışanlar, ev BT kurulumlarına yeni yazılım yüklemek istiyor olabilir. Hızlı bir çözüm için, eğer varsa, teknoloji ekiplerine başvurmak yerine çevrimiçi bakabilirler. Secureworks CTU İstihbarat Direktörü Mike McLellan, “Ancak araştırmalar, çevrimiçi her 100 reklamdan birinin kötü amaçlı içerik içerdiğini gösteriyor” dedi.
“İnsanlar yeni teknoloji ararken veya ChatGPT gibi yeni teknolojiler hakkındaki abartılı haberlere dahil olmak istediklerinde, onu bulmak için gidilecek yer Google’dır. Arama sonuçlarında döndürülen kötü amaçlı reklamları tespit etmek, derin teknik bilgiye sahip biri için bile inanılmaz derecede zor.”
Mike McLellan, Secureworks CTU
CTU ekibinin yanıt verdiği bir vakada, bir kullanıcı kandırılarak Bumblebee’yi sunmak üzere değiştirilmiş yasal bir Cisco AnyConnect VPN yükleyicisini indirmek için bir Google reklamına tıkladı.
Birkaç saat içinde, kimliği açıklanmayan bir tehdit aktörü sistemlerine erişti, uzun süredir siber suçlular tarafından tercih edilen Cobalt Strike sömürü sonrası çerçevesini kurdu ve Kerberoasting adı verilen bir saldırı gerçekleştirdi. – ve yanal hareket girişiminde bulundu.
Talihsiz kullanıcının şansına, ağ savunucuları etkinlik konusunda uyarıldıklarından ve çok fazla zarar vermeden önce saldırganı tahliye edebildiklerinden, olay çok daha kötü bir şeye dönüşmeden durduruldu. McLellan, “Gördüklerimize göre, tehdit aktörü muhtemelen fidye yazılımı yaymayı planlıyordu” dedi.
“Kimlik avından Google reklamlarına geçiş o kadar da şaşırtıcı değil,” diye açıkladı. “Düşmanlar parayı ve başarıya giden kolay yolu takip eder ve bunun kurumsal ağlara erişmenin daha iyi bir yolu olduğu kanıtlanırsa, o zaman onu kesinlikle istismar edeceklerdir.
“Çalışanların iş bilgisayarlarına yazılım yükleme ayrıcalıklarına sahip olmaması gerektiğinden, web reklamlarına erişimi kısıtlamak ve yazılım indirme ayrıcalıklarını yönetmek için katı politikaların yürürlükte olmasının önemini vurguluyor.”
Secureworks ekibi, tehdit aktörleri çevrimiçi reklamları ve SEO zehirlenmesi tekniklerini kullanımlarını artırdıkça, kuruluşların, Google reklamlarına tıklama yeteneğini sınırlayan kısıtlamalar ve kontroller uygulayarak ekiplerini, özellikle de uzak kullanıcıları ve ağlarını korumak için harekete geçmelerini öneriyor.
Kuruluşlar, temel siber güvenlik politikası gereği, yazılım yükleyicilerin ve güncellemelerin yalnızca güvenilir ve doğrulanmış web sitelerinden indirilmesini de sağlamalıdır; bu, kolayca düzeltilebilen bir hatadır.