Bir tehdit aktörü, bilgi hırsızlığı, keylogging, kripto para madencileri ve Black Basta gibi fidye yazılımları da dahil olmak üzere çok sayıda kötü amaçlı etkinlikle ilişkili sorunlu bir yükleyici olan DarkGate’i dağıtmak için güvenliği ihlal edilmiş Skype ve Microsoft Teams hesaplarını kullanıyor.
Etkinliği takip eden Trend Micro araştırmacılarına göre, ağustos ayında başlamış gibi görünen kampanyanın hedeflerinin yüzde 41’i Amerika kıtasındaki kuruluşlar.
Bu hafta yayınlanan bir raporda Trend Micro, araştırmacılarının DarkGate geliştiricisinin kötü amaçlı yazılımın yer altı forumlarında reklamını yapmaya başladığını ve onu kötü amaçlı yazılım olarak hizmet olarak tehdit aktörlerine kiraladığını gözlemlediğini söyledi. Yıllarca tek başına devam eden pivot, DarkGate aktivitesinde göreceli bir durgunluğun ardından son zamanlarda bir artışa neden oldu.
Skype ve Teams Aracılığıyla Microsoft Kimlik Avı
Trend Micro’nun şu anda takip ettiği DarkGate kampanyasının operatörü, kötü amaçlı yazılımı dağıtmak için hem Skype hem de Teams kullanıyor. Saldırılardan birinde tehdit aktörü, hedef alıcının kuruluşunun güvenilir bir ilişki içinde olduğu bir kuruluştaki bir kişiye ait Skype hesabının kontrolünü ele geçirdi. Saldırgan, temel olarak ele geçirilen Skype hesabını, mevcut bir mesaj dizisini ele geçirmek ve PDF dosyası içeriyor gibi görünen ancak aslında kötü amaçlı bir VBS betiği olan bir mesaj göndermek için kullandı. Alıcı dosyayı çalıştırdığında, DarkGate’i hedef bilgisayara indirip yüklemek için bir dizi adımı başlattı.
Trend Micro’nun analiz ettiği başka bir saldırıda, tehdit aktörü, kötü amaçlı bir .LNK dosyası içeren bir mesajı hedef alıcıya göndermek için bir Teams hesabını kullanarak aynı sonucu elde etmeye çalıştı. Tehdit aktörünün güvenilir bir üçüncü tarafa ait biri olduğunu iddia ettiği Skype hırsızlığının aksine, Teams varyasyonunda alıcı, kötü niyetli mesajı bilinmeyen, harici bir varlıktan aldı.
Trend Micro, “Bu durumda, kuruluşun sistemi kurbanın harici kullanıcılardan mesaj almasına izin verdi ve bu da onların potansiyel bir spam hedefi haline gelmesine neden oldu” dedi.
Güvenlik satıcısı, “Ayrıca, bir .LNK dosyasının, yaratıcıların SharePoint sitesinden sıkıştırılmış bir dosya olarak geldiği VBA komut dosyasını kullanan üçüncül bir dağıtım yöntemini de gözlemledik” dedi. Bu saldırı çeşidinde, tehdit aktörü kurbanı belirli bir SharePoint sitesine çekerek “Önemli şirket değişiklikleri Eylül.zip” adlı bir dosyayı indirmeye çalışır.
DarkGate: Güçlü Bir Tehdit
DarkGate, en az 2017’den bu yana dünyanın çeşitli bölgelerindeki kullanıcıları hedef alan bir kötü amaçlı yazılımdır. Nispeten güçlü birden fazla işlevi entegre eder; örneğin, kötü amaçlı yazılım, sistem bilgilerini toplamak, ağları haritalamak ve dizin geçişi yapmak için komutları çalıştırabilir. Aynı zamanda uzak masaüstü protokolünü (RDP), gizli sanal ağ bilişimini, AnyDesk’i ve diğer uzaktan erişim yazılımlarını da uygular. Diğer “özellikler” arasında kripto para madenciliği, keylogging, ayrıcalık yükseltme ve tarayıcılardan bilgi çalma ile ilgili olanlar yer alıyor.
DarkGate, yük dağıtımı ve yürütülmesi için, diğer kötü amaçlı yazılım ailelerinin yazarlarının gizleme ve savunmadan kaçınma için kullandıkları meşru bir Windows otomasyonu ve komut dosyası oluşturma aracı olan AutoIT’i kullanır.
DarkGate Çoklu Potansiyel Yükler Sunuyor
Trend Micro’nun analizi, DarkGate’in bir sisteme kurulduğunda ek yükleri azalttığını gösterdi. Bunlar bazen DarkGate’in kendisinin veya saldırganların daha önce siber casusluk gözetimi ve vergiyle ilgili bilgileri çalmak için kullandığı uzaktan erişim Truva Atı (RAT) olan Remcos’un çeşitleri olabilir.
Trend Micro, gözlemlediği DarkGate saldırılarını herhangi bir gerçek zarar meydana gelmeden önce kontrol altına alabildiğini söyledi. Ancak geliştiricinin yeni kötü amaçlı yazılım kiralama modeline yöneldiği göz önüne alındığında, kurumsal güvenlik ekipleri çeşitli tehdit aktörlerinden daha fazla saldırı bekleyebilir. Bu saldırganların hedefleri farklılık gösterebilir; bu da kuruluşların, sistemlere farklı türden kötü amaçlı yazılımlar bulaştırmak için DarkGate’i kullanan tehdit aktörlerine karşı dikkatli olmaları gerektiği anlamına gelir.
Trend Micro’nun gözlemlediği saldırılar bireysel Skype ve Teams alıcılarını hedef alırken, saldırganın amacı açıkça sistemlerini hedef kuruluşun ağlarında ilk dayanak noktası olarak kullanmaktı. Trend Micro’ya göre “Amaç hala tüm ortama nüfuz etmek ve kullanılan DarkGate varyantını satın alan veya kiralayan tehdit grubuna bağlı olarak tehditler fidye yazılımından kripto madenciliğine kadar değişebilir.”
Güvenlik firması, kuruluşların Skype ve Teams gibi anlık mesajlaşma uygulamalarının kullanımına ilişkin kurallar uygulamasını tavsiye ediyor. Bu kurallar, harici etki alanlarının engellenmesini, eklerin kullanımının kontrol edilmesini ve mümkünse tarama önlemlerinin uygulanmasını içermelidir. Trend Micro, çok faktörlü kimlik doğrulamanın, tehdit aktörlerinin yasa dışı olarak elde edilen kimlik bilgilerini IM hesaplarını ele geçirmek amacıyla kötüye kullanmasını önlemek için de hayati önem taşıdığını söyledi.