Keegan Keplinger, Araştırma ve Raporlama Lideri, Tehdit Müdahale Birimi, eSentire
Mart ayında eSentire’in güvenlik araştırma ekibi, Tehdit Müdahale Birimi (TRU), gizli more_eggs kötü amaçlı yazılımının yaklaşık bir yıl sessiz kaldıktan sonra yeniden ortaya çıktığını keşfetti. More__eggs, bilgisayar korsanlarının iş başvurusunda bulunanlar gibi davrandığı ve kurumsal işe alım yöneticilerini potansiyel adaylardan özgeçmişler olduğuna inandıkları şeyleri indirmeye ikna ettiği bir kimlik avı kampanyasında kullanılıyordu. Ancak sahte belgeler more_eggs kötü amaçlı yazılımını içeriyordu.
More_eggs, kurumsal banka hesapları, e-posta hesapları ve BT yönetici hesapları için kullanıcı adları ve parolalar dahil olmak üzere değerli kimlik bilgilerini çalmak üzere tasarlanmış bir bileşen de dahil olmak üzere çeşitli bileşenler içeren kötü amaçlı yazılımdır. Bir tehdit aktörü bir şirket için BT yönetimi kimlik bilgilerini alabilirse, kurbandan kolayca veri sızdırabilir, kötü amaçlı yazılımlarını Microsoft TeamViewer aracılığıyla kuruluşun ağı içindeki diğer bilgisayar ana bilgisayarlarına yayabilir ve bir şirketin dosyalarını şifreleyebilir.
Golden Chickens grubunun (aka Venom Spider), more_eggs’in arkasındaki tehdit operatörleri olduğuna inanılıyor. Bu yıl şimdiye kadar, TRU more_eggs ile ilgili dört ayrı güvenlik olayını keşfetti ve kapattı. Saldırıya uğrayan kuruluşlar arasında ABD merkezli bir havacılık/savunma şirketi; İngiltere merkezli büyük bir CPA firması; Kanada merkezli uluslararası bir ticari hukuk firması; ve ulusal bir Kanada personel ajansı.
2022 More_Eggs Operasyonu – 2021 LinkedIn More_Eggs Kampanyasının bir Deja Vu’su mu?
İronik olarak, ürkütücü derecede benzer bir more_eggs kampanyası Mart 2021’de eSentire’ın TRU’su tarafından ortaya çıkarıldı. Ancak bu kampanya sırasında, tehdit aktörleri zehirli özgeçmişler gönderen umutlu iş adayları gibi görünmek yerine, LinkedIn’de iş arayan profesyonelleri hedef aldı. İş arayanlara iş teklifi kılığında .zip dosyaları gönderdiler. Hedefler zip dosyasını açtığında, more_eggs kurulumuna yol açtı. Bilgisayar korsanları, iş arayan kişinin mevcut iş unvanından sonra adlandırarak ve sonuna “pozisyon” ekleyerek zip dosyasına tıklamaları için hedefleri kandırmaya çalıştı.
Örneğin, LinkedIn üyesinin işi ‘Kıdemli Hesap Yöneticisi—Uluslararası Nakliye’ olarak listelenmişse, kötü amaçlı zip dosyasının başlığı ‘Kıdemli Hesap Yöneticisi — Uluslararası Nakliye pozisyonu’ olacaktır.
TRU, Bir Havacılık/Savunma Şirketine, Uluslararası Hukuk Bürosuna, Uluslararası CPA Firmasına ve Ulusal Personel Ajansına Vurulan Daha Fazla Yumurta Saldırısını Bozuyor
TRU bu yıl dört more_eggs olayını keşfedip kapattığında, her olay yeni bir more_eggs çeşidini içeriyordu.
TRU, 2022 more_ egg kampanyasının arkasındaki tehdit aktörlerinin şirketleri rastgele hedeflemediğine inanıyor. Örneğin, CPA firması ve personel ajansı, her işe alım yöneticisinin aldığı özgeçmişin başlığıyla eşleşen Indeed.com ve LinkedIn’de bir iş ilanı listeler. Havacılık/savunma şirketinin ZipRecruiter.com’da listelenen ve alınan sahte özgeçmişin başlığıyla eşleşen bir işi de vardı.
More_Eggs’in İç İşleri
More_eggs, gelişmiş bir kötü amaçlı yazılım bileşenleri paketidir. Bu bileşenlerden biri VenomLink’tir (kurbanı TerraLoader’ı kurması için kandırmak için kullanılan bir bileşen). TerraLoader, bir kurbanın BT ağı boyunca kimlik bilgisi hırsızlığı, yanal hareket ve dosya şifreleme gibi kötü niyetli eylemlerde bulunmak üzere tasarlanmış çok sayıda modülü kurmak için kullanılan bir ara bileşendir. İşte tam bir döküm:
- zehirLNK zehirli bir LNK dosyasıdır. Windows, program yürütmeyi otomatikleştirmek için LNK dosyalarını kullanır. More_eggs, kullanıcıyı bir belge olduğunu düşündükleri şeyi açması için kandırarak TerraLoader’ı yürütmek için kötü amaçla yazılmış bir LNK dosyası kullanır.
- TerraLoader VenomLNK’den diğer modülleri yükler
- TerraPreter bellekte bir Meterpreter (bir Metasploit saldırı yükü) kabuğu sağlar
- TerraHırsız hassas verileri sızdırmak için kullanılan bir bilgi çalma modülüdür
- TerraTV tehdit aktörlerinin yanal hareket için TeamViewer’ı ele geçirmesine izin verir
- TerraCrypt PureLocker fidye yazılımı, diğer adıyla CR1 Ransomware, daha az bilinen bir fidye yazılımı için bir fidye yazılımı eklentisidir.
2022 more_eggs kampanyasının sosyal mühendislik yöntemi, VenomLNK kötü amaçlı yazılımının sıkıştırılmış bir kopyasını bir iş başvurusunda bulunan kişinin özgeçmişi olarak gizlemekten oluşuyordu. more_eggs TerraLoader’ı kurarken, bir tuzak özgeçmiş işlevi gören iyi huylu bir PDF özgeçmişi de dahil edildi.
TRU tarafından gözlemlenen önceki more_eggs türevlerinde olduğu gibi, kötü amaçlı yazılım, kullanıcıları kandırmak için bir sahte belgenin yanı sıra algılamadan kaçınmak için yasal Windows işlemlerini kötüye kullanır. Muhasebe firmasının karıştığı olayla birlikte, firmanın bir çalışanı, adayın özgeçmişi olduğunu düşündükleri şeyi aldı. Ancak özgeçmiş, VenomLNK kötü amaçlı yazılımıydı. VenomLNK yürütüldüğünde, TerraLoader’ın more_eggs paketine ait çeşitli bilgi çalma modüllerini ve izinsiz giriş modüllerini yükleyebilmesi için TerraLoader’ı yürütmeye devam etti. Ancak 2022 kampanyasında iki önemli fark vardı:
- Daha önce kötüye kullanılan Windows işleminin yerine,exe – ağ bağlantılarını yöneten – more_eggs, kötü amaçlı eklentilerini yüklemek için başka bir Windows İşlemi olan ie4uinit.exe’yi kötüye kullanıyordu.
- Ziyade umutlu adayları hedeflemek iş arıyor, bilgisayar korsanları hedef aldı işletmeler çalışanlar arıyor.
More_Yumurtalara Karşı Koruma
eSentire Tehdit Müdahale Birimi Başkan Yardımcısı Rob McLeod, “Şu ana kadar, diğer bazı siber tehditlerin aksine, yılda sadece birkaç kez daha fazla yumurta içeren tehdit kampanyaları görüyoruz” dedi. “Bu, kampanyaların spearphishing bileşenine ek olarak, more_eggs kullanan tehdit aktörlerinin son derece seçici ve sabırlı olduğunu gösteriyor. Özellikle kritik altyapı sektörlerinde faaliyet gösteren şirketlerin ve kamu kurumlarının aşağıdaki güvenlik önerilerini benimsemeleri önemlidir.”
Siber Güvenlik Koruma İpuçları
- Tüm Çalışanlar İçin Güvenlik Bilinci Eğitimi. Tüm şirket çalışanları için Güvenlik Bilinci eğitimi zorunlu olmalıdır. Eğitim, çalışanların şunları sağlamasını sağlamalıdır:
- Doğrulanmamış kaynaklardan dosya indirmekten ve yürütmekten kaçının. Örneğin, bilinmeyen bir kaynaktan gönderilen veya İnternet’ten alınan ve ‘Makroları Etkinleştir’i isteyen Word ve Excel belgelerine karşı dikkatli olun.
- Ücretli yazılımların ücretsiz sürümlerinden kaçının.
- Kaynakla eşleştiğinden emin olmak için dosyaları indirmeden önce her zaman tam URL’yi inceleyin (örneğin, Microsoft Team bir Microsoft etki alanından gelmelidir).
- Dosya uzantılarını inceleyin. Yalnızca dosya türü logosuna güvenmeyin. Yürütülebilir bir dosya, PDF veya ofis belgesi olarak gizlenebilir.
- Çalışanların potansiyel olarak kötü amaçlı içeriği incelemeye göndermeleri için standart prosedürlerin mevcut olduğundan emin olun
- Anti-virüs yeterli değil. Living Off the Land İkili Dosyalarını (LOLBins) kötüye kullanan kötü amaçlı yazılımlar, ikili algılama yaklaşımlarını atlar. Bu nedenle, tüm ana bilgisayarlara Uç Nokta Algılama ve Yanıt (EDR) aracılarının yüklenmesi gerekir. Bir EDR çözümü, more_eggs gibi tehditleri tespit etmek için gerekli bir teknolojidir ve EDR aracılarının sürekli olarak izlenmesi ve gelişen tehdit ortamı ile güncellenmesi gerekir. Aksi takdirde, kritik uyarılar önceliklendirilmeyecek ve araştırılmayacaktır. Yönetilen Algılama ve Yanıt (MDR) sağlayıcıları bu hizmeti sunar. Güçlü ve kapsamlı MDR hizmetleri, bir kuruluşun EDR aracıları tarafından oluşturulan yüzlerce günlük güvenlik sinyalinin anında alınabilmesi, analiz edilebilmesi ve yanıt verilebilmesi için yapay zeka destekli Genişletilmiş Algılama ve Yanıt (XDR) teknoloji platformu gerektirir. Otomatik yanıt yoluyla çözülebilen güvenlik olayları işlenirken, uygulamalı yanıt gerektiren güvenlik olayları MDR’nin siber güvenlik analistleri ve tehdit avcıları tarafından işlenir.
- Tehdit Manzarasını İzleyin. Kuruluşların ilgili tehdit istihbaratına erişimi olmalı ve zamanında harekete geçilmelidir. Dahili güvenlik ekiplerinin, harici güvenlik sağlayıcılarıyla uyum içinde çalışarak çalışma ortamları hakkında özel olarak bilgilendirilmesi gerekir.
eSentire’ın endüstride ünlü Tehdit Müdahale Birimi hakkında daha fazla bilgi edinin.
eSentire’in en son Güvenlik Önerilerini ve Raporlarını okuyun.
yazar hakkında
Keegan Keplinger, eSentire’deki Tehdit Müdahale Biriminin Araştırma ve Raporlama Lideridir. Tehdit aktörünün davranışını ve ekonomisini anlamak amacıyla tehdit araştırması yapar ve tehdit faaliyeti hakkında raporlar yayar. Keegan, fizik alanında lisans derecesine ve sinirbilim ve uygulamalı matematik alanında yüksek lisans derecesine sahiptir; eSentire’e ilk olarak 2017 yılında Tehdit İstihbaratı ekibinde Veri Görselleştirme Lideri olarak katıldı, ancak hızla tespit mühendisliğinde, tehdit avlarında ve daha önce gözlemlenmemiş tehdit faaliyetlerini raporlamada daha geniş bir role dönüştü.
Keegan’a [email protected] adresinden ve şirket web sitemiz https://www.esentire.com/ adresinden çevrimiçi olarak ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.