DarkGate kötü amaçlı yazılım enfeksiyonlarını zorlayan karmaşık bir kimlik avı kampanyası, yakın zamanda PikaBot kötü amaçlı yazılımını da karışıma ekledi ve bu, Qakbot operasyonunun sona ermesinden bu yana en gelişmiş kimlik avı kampanyası haline geldi.
Kötü amaçlı e-posta kampanyası, FBI’ın QBot’un (Qakbot) altyapısını ele geçirip kaldırmasının ardından Eylül 2023’te başladı.
Cofense tarafından hazırlanan yeni bir raporda araştırmacılar, DarkGate ve Pikabot kampanyalarının önceki Qakbot kampanyalarına benzer taktik ve teknikler kullandığını açıklıyor ve bu da Qbot tehdit aktörlerinin artık daha yeni kötü amaçlı yazılım botnet’lerine yöneldiğini gösteriyor.
Qbot, e-posta yoluyla dağıtılan en yaygın kötü amaçlı yazılım botnet’lerinden biri olduğundan ve hem DarkGate hem de Pikabot, Qbot ile aynı özelliklerin çoğuna sahip modüler kötü amaçlı yazılım yükleyicileri olduğundan, bu, kuruluş için ciddi bir risk oluşturmaktadır.
Qbot gibi, yeni kötü amaçlı yazılım yükleyicileri de tehdit aktörleri tarafından ağlara ilk erişim sağlamak ve muhtemelen fidye yazılımı, casusluk ve veri hırsızlığı saldırıları gerçekleştirmek için kullanılacak.
Kaynak: Cofense
DarkGate ve Pikabot kampanyası
Geçtiğimiz yaz, DarkGate kötü amaçlı yazılımını zorlayan kötü amaçlı e-postalarda büyük bir artış oldu ve tehdit aktörleri Ekim 2023’te birincil yük olarak Pikabot’u yüklemeye geçti.
Kimlik avı saldırısı, çalınan bir tartışma dizisinin yanıtı veya iletilmesi olan bir e-postayla başlar ve bu, alıcıların iletişime güvenle yaklaşma olasılığını artırır.
Gömülü URL’yi tıklayan kullanıcılar, geçerli hedefler olduklarını doğrulayan bir dizi kontrolden geçer ve ardından hedeften, uzak bir kaynaktan son yükü getiren kötü amaçlı yazılım damlatıcısını içeren bir ZIP arşivi indirmesini ister.
Cofense, saldırganların hangisinin en iyi sonucu verdiğini belirlemek için birden fazla kötü amaçlı yazılım düşürücüyle denemeler yaptığını bildirdi:
- JavaScript damlalığı PE’leri veya DLL’leri indirmek ve yürütmek için.
- Excel-DNA yükleyici XLL dosyaları oluşturmak için kullanılan açık kaynaklı bir projeye dayanmaktadır ve burada kötü amaçlı yazılımların indirilmesi ve çalıştırılması için yararlanılmaktadır.
- VBS (Virtual Basic Komut Dosyası) indiricileri Microsoft Office belgelerindeki .vbs dosyaları aracılığıyla kötü amaçlı yazılım çalıştırabilen veya komut satırında yürütülebilir dosyaları başlatabilen.
- LNK indiricileri Kötü amaçlı yazılım indirmek ve yürütmek için Microsoft kısayol dosyalarını (.lnk) kötüye kullananlar.
Bu saldırılarda kullanılan son yük, Eylül 2023’e kadar DarkGate kötü amaçlı yazılımıydı ve Ekim 2023’te yerini PikaBot aldı.
DarkGate ve PikaBot
DarkGate ilk olarak 2017’de belgelendi, ancak geçtiğimiz yaz daha geniş siber suç topluluğunun kullanımına sunuldu ve bu da kimlik avı ve kötü amaçlı reklam yoluyla dağıtımında ani bir artışa neden oldu.
Uzaktan erişim için hVNC, kripto para birimi madenciliği, ters kabuk, keylogging, pano çalma ve bilgi çalma (dosyalar, tarayıcı verileri) dahil olmak üzere çeşitli kötü amaçlı davranışları destekleyen gelişmiş modüler bir kötü amaçlı yazılımdır.
PikaBot ilk kez görülen daha yeni bir kötü amaçlı yazılımdır. 2023 başı Kapsamlı hata ayıklama önleme, VM önleme ve öykünme önleme mekanizmaları içeren bir yükleyici ve bir çekirdek modülden oluşur.
Kötü amaçlı yazılım, virüslü sistemlerin profilini çıkarıyor ve verileri daha sonraki talimatları bekleyerek komuta ve kontrol (C2) altyapısına gönderiyor.
C2, kötü amaçlı yazılıma DLL veya PE dosyaları, kabuk kodu veya komut satırı komutları biçimindeki modülleri indirmesi ve yürütmesi talimatını veren komutlar gönderir; bu nedenle çok yönlü bir araçtır.
Cofense, PikaBot ve DarkGate kampanyalarının, yetenekleri sıradan kimlik avcılarınınkinden daha üstün olan bilgili tehdit aktörleri tarafından yürütüldüğü konusunda uyarıyor; bu nedenle kuruluşların bu kampanya için TTP’lere aşina olmaları gerekiyor.