Bilgisayar korsanları, kötü amaçlı faaliyetlerini meşru güvenlik değerlendirmeleri gibi göstermek için sıklıkla sızma testi hizmetlerini taklit ederler.
Yetkili güvenlik testlerini taklit ederek saldırganlar, meşru sızma test uzmanlarına tanınan güven ve erişimi suistimal edebilir ve bu sayede ağlar ve sistemler içinde daha özgürce hareket edebilirken anında şüphe uyandırmaktan kaçınabilirler.
İsrail hükümeti olası tehditleri araştırırken, şüpheli bir alan adını komuta ve kontrol sunucusu olarak kullanan bir enfeksiyon zinciri keşfetti.
Bu saldırıda kamuya açık zararlı yazılımlar ve özel bileşenler bir arada kullanılıyor.
Çekirge Kalem Testi Hizmetleri olarak
2023’ün sonlarında, yük dağıtımı için ortak teknikler, hedefe özgü altyapı ve özel WordPress siteleri kullanan özel şirketlere yönelik hedefli saldırılar başlatıldı.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Bu kampanyalar, ilgisiz sektörlerdeki çeşitli kuruluşları etkiliyor.
Ancak gerçek bir güvenlik firması olmayabileceği için bu bilginin, tanınmış güvenlik firmaları veya meşru penetrasyon testi operasyonlarıyla ilişkilendirilmeden siber güvenlik camiasıyla paylaşılması gerekirdi.
Muhtemelen İsrail hükümet birimini hedef alan enfeksiyon zinciri, oldukça özel bir WordPress web sitesi olan VHD dosyasıyla başlıyor.
HTA dosyası gibi tüm gizli dosyaları içeren bir VHD’dir, bu dosyanın sahte bir görüntüsü vardır ve kötü amaçlı yazılım bileşenlerini %TEMP% klasörüne aktarır, ardından birinci aşama Nim indiricisini başlatır.
Bu indirici, kontrollü bir sunucudan ikinci aşama yükünü alır. Son yük, bir kabuk kodu oluşturma çerçevesi olan Donut’ı, açık kaynaklı bir Golang trojan’ı olan Sliver ile birleştirir.
Donut, Sliver’ı çalıştırmadan önce AMSI ve WLDP gibi güvenlik önlemlerini devre dışı bırakır, bu da saldırgana belirtilen bir komut ve kontrol sunucusu aracılığıyla kurbanın makinesinin tam kontrolünü sağlar.
Yapılan incelemeler operatörlerin bu tür saldırılar için muhtemelen başka bir altyapıyı kullandığını ortaya çıkardı.
Bu alan adları, Carlsberg ve SintecMedia gibi popüler markalara ait sahte alan adlarıdır, ancak bazılarının genel olarak istihbarat toplama ile ilgisi olmayabilir.
Bu kampanyalardan biri, İsrail hükümetinin bireyleri veya yerel işletmeleri hedef aldığını ileri sürüyordu.
Ünlü bir WordPress sitesi, bir zamanlar “rickroll” videosuna yönlendirilmiş olan bir VHD dosyasını ve URL’yi, muhtemelen coğrafi sınırlama tekniklerinin bir parçası olarak birbirine bağladı.
Hedeflerin ortak bir örüntüsü yok gibi görünüyor; sahte marka kimlikleri farklı anlamlara gelebilir.
Bu kampanyanın ilgi çekici yönleri arasında dar kapsamı, hedef odaklı yaklaşımı ve çoğunlukla açık kaynaklı araçların kullanılması yer alıyor.
Ancak, yaygın olarak kullanılan araçlar karmaşık operasyonlar yürütmek için kullanılabilir ve bu da tehdit araştırmacılarının bu saldırıları analiz etmesini zorlaştırır.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files