Geleneksel güvenlik önlemlerinden kaçarken EndRAT kötü amaçlı yazılımını dağıtmak için Google’ın reklamcılık altyapısından yararlanan, Poseidon Operasyonu olarak bilinen yeni bir hedef odaklı kimlik avı kampanyası ortaya çıktı.
Saldırı, kötü amaçlı URL’leri gizlemek ve bunların güvenilir reklam trafiği olarak görünmesini sağlamak için meşru reklam tıklama izleme alanlarından yararlanır. Bu teknik, e-posta güvenlik filtrelerini etkili bir şekilde atlar ve ilk bulaşma aşamasında kullanıcının şüphesini azaltır.
Bu kampanyanın arkasındaki tehdit aktörleri, gelişmiş sosyal mühendislik taktikleriyle Güney Koreli kuruluşları hedef alan Konni APT grubuna ait.
Saldırganlar, mağdurları kötü amaçlı dosyalar indirmeye ikna etmek için Kuzey Koreli insan hakları kuruluşlarının ve finans kurumlarının kimliğine bürünüyor.
Bu dosyalar genellikle finansal belgeler, işlem onayları veya resmi bildirimler olarak gizlenir ve normal iş iletişimlerine sorunsuz bir şekilde uyum sağlar.
.webp)
Genians analistleri, kampanyayı, dahili yapılar içeren kötü amaçlı komut dosyalarının ayrıntılı adli analizi yoluyla belirledi.
Araştırmacılar, saldırganların ele geçirilen WordPress web sitelerini kötü amaçlı yazılım dağıtım noktaları ve komuta ve kontrol altyapısı olarak kullandığını keşfetti.
Bu yaklaşım, geleneksel URL ve etki alanı engelleme politikalarının etkinliğini zayıflatarak saldırı altyapısının hızla değişmesine olanak tanır.
Kötü amaçlı yazılım yürütme zinciri, kurbanların hedef odaklı kimlik avı e-postalarına yerleştirilmiş gizlenmiş reklam URL’lerini tıklatmasıyla başlıyor ve bu URL’ler onları Google’ın ad.doubleclick.net alanı üzerinden kötü amaçlı ZIP arşivlerini barındıran güvenliği ihlal edilmiş sunuculara yönlendiriyor.
.webp)
Bu arşivlerin içinde, PDF belgeleri gibi görünen AutoIt komut dosyalarının indirilmesini ve yürütülmesini tetikleyen LNK kısayol dosyaları bulunur. Bu komut dosyaları, EndRAT değişkeni uzaktan erişim truva atlarını, daha fazla kullanıcı etkileşimi gerektirmeden doğrudan belleğe yükler.
Kötü amaçlı yazılım, komut ve kontrol iletişimleri için “endServer9688” ve “endClient9688” gibi benzersiz tanımlayıcı dizeler içerir.
Dahili yapım yolları, operasyonun kod adı olan “Poseidon”u ortaya çıkardı; bu, organize yönetimin Konni APT çerçevesinde ayrı bir operasyonel birim olduğunu akla getiriyor.
Saldırı Uygulama ve Kaçınma Teknikleri
Saldırı, e-posta dağıtım aşamasından başlayarak birden fazla algılama kaçırma katmanı kullanıyor. Kimlik avı e-postaları, display:none özelliği kullanılarak görünmez HTML alanlarına eklenen büyük miktarda anlamsız İngilizce metin içerir.
Bu içerik doldurma tekniği, e-posta içeriğini yapay olarak uzatarak ve anahtar kelime analizi mantığını bozarak yapay zeka tabanlı kimlik avı tespit sistemlerini ve spam filtrelerini karıştırır.
.webp)
E-postalar ayrıca, açıldığında saldırgan tarafından kontrol edilen sunuculara HTTP istekleri gönderen, tehdit aktörlerinin alıcı etkileşimini izlemesine ve aktif e-posta adreslerini onaylamasına olanak tanıyan şeffaf 1×1 piksel web işaretçileri de içeriyor.
Kötü amaçlı yazılım dağıtım URL’leri, URL parametreleri içine komut ve kontrol adresleri yerleştirerek meşru reklam platformlarının yapısından yararlanır.
.webp)
Bu, yönlendirmenin normal reklam trafiği gibi görünmesini sağlayarak tespit olasılığını önemli ölçüde azaltır.
LNK dosyalarının kendisi, dosya uzantılarını ve simgeleri meşru belgeler gibi görünecek şekilde maskeleyerek hem imza tabanlı hem de davranış tabanlı güvenlik çerçevelerinden kaçmak için tasarlanmış karmaşık bir saldırı zincirini tamamlıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
