Güvenlik araştırmacıları, 20 Haziran 2024’te, devam eden bir sosyal mühendislik kampanyasıyla tutarlı teknikler, taktikler ve prosedürler (TTP’ler) kullanan tehdit aktörleri tarafından gerçekleştirilen birden fazla saldırı girişimini tespit etti; saldırı planında AnyDesk ve Microsoft Teams araçları merkezi roller oynadı.
Bu araştırmacılar, saldırgan kampanyanın araştırılması sırasında tehdit aktörlerinin kullandığı araçlarda ve yüklerde önemli bir evrim gözlemlediler.
AnyDesk ve Microsoft Teams Bilgisayar Korsanları Tarafından Kötüye Kullanılıyor
Rapid7’den araştırmacılar, kampanyanın bir e-posta bombasıyla başladığını ve ardından kurbana Microsoft Teams kullanılarak yapılan bir telefon görüşmesiyle devam ettiğini gözlemledi. Tehdit aktörü daha sonra kullanıcıyı, saldırganın kullanıcının bilgisayarını kontrol altına almasını sağlayan bir uzaktan erişim aracı olan AnyDesk’i indirmeye ve yüklemeye ikna ediyor. Kontrol sağlandıktan sonra, tehdit aktörü sistemde yükler yürütüyor ve çalınan verileri dışarı sızdırıyor.
Bazı durumlarda, saldırgan AntiSpam.exe adlı 32 bitlik bir .NET yürütülebilir dosyası gibi kimlik bilgisi toplama betikleri kullanmıştır. Bu uygulama, bir spam filtresi güncelleyicisi gibi davranarak kullanıcıdan kimlik bilgilerini açılır bir pencereye girmesini ister. Girilen kimlik bilgileri, sistem numaralandırma bilgileriyle birlikte diske kaydedilir. Yürütülebilir dosya, sürümler arasında değişikliklere uğramıştır ve bu da aktif geliştirme olduğunu gösterir.
Kimlik bilgisi toplamanın ardından, tehdit aktörleri komuta ve kontrol (C2) sunucularıyla bir bağlantı kurmaya çalışmak için bir dizi ikili dosya ve PowerShell betiği yürüttü. Araştırmacılar, hepsi sosyal mühendislik cazibesiyle tutarlı olan update1.exe, update4.exe ve update7.ps1 gibi isimlere sahip takip yüklerini gözlemlemişti.
Yükler ve Teknik Analiz
Bu yükler arasında, bir dropper ve çorap proxy’si olarak hareket eden SystemBC kötü amaçlı yazılımı; bir C2 çerçevesi olarak hizmet eden Golang HTTP işaretleri; bağlantıları yönlendirebilen çorap proxy işaretleri; ve bir Cobalt Strike modülünden bağımsız bir yürütülebilir dosyaya dönüştürülen bir Beacon Object File (BOF) yer alır. Dikkat çekici bir şekilde, update6.exe yükü, tehdit aktörü tarafından Kerberoasting için kullanılabilecek bir makine hesabı eklemek için CVE-2022-26923’ü istismar etmeye çalışacaktır.
Ayrıca araştırmacılar, tehlike altındaki ortamlarda yanal hareketi kolaylaştırmak ve erişimi sürdürmek için ters SSH tünellerinin ve Seviye Uzaktan İzleme ve Yönetim (RMM) aracının kullanımını gözlemlediler.
Araştırmacılar derlenen yüklerin birçoğunu analiz etti ve birçoğunun aynı sertifika ile imzalandığını ortaya çıkardı. AntiSpam.exe, update1.exe, update2.dll ve update4.exe’nin analizi, tehdit aktörlerinin kullandığı tekniklere dair değerli içgörüler sağlar.
- AntiSpam.exe: Bu yük, kullanıcıya mesajları görüntülemek için bir konsol penceresi ayırır ve konsol penceresine 1023 kez sahte bir döngü yazdırır. Daha sonra program kullanıcıdan kimlik bilgilerini girmesini ister ve bu kimlik bilgileri ValidateCredentials yöntemi kullanılarak doğrulanır. Yük ayrıca cmd.exe aracılığıyla numaralandırma komutlarını yürütür ve çıktıyı bir dosyaya kaydeder.
- update1.exe: Bu yük, Yandex Disk için bir yükleyici gibi görünüyor, ancak gerçekte, yerel PE enjeksiyonu kullanarak gömülü bir kaynaktan ikinci bir yürütülebilir dosyayı yüklüyor, şifresini çözüyor ve yürütüyor.
- update2.dll: Bu yük, yerel PE enjeksiyonu yoluyla ikinci aşama yürütülebilir bir yükü yükleyen sahte bir AMD DirectX sürücü kitaplığı olarak kendini gösterir. İkinci aşama yükü, bir Golang HTTP kitaplığı kullanarak birkaç C2 adresine ulaşır.
- update4.exe: Bu yük, Trend Micro tarafından oluşturulan bir antivirüs tarayıcısı olan APEX Scan’in bir kopyası gibi görünüyor.
Çözüm
Devam eden bu sosyal mühendislik kampanyasının arkasındaki tehdit aktörleri, kimlik bilgisi toplama toplu komut dosyalarından .NET yürütülebilir dosyasına geçerek tekniklerini uyarlamaya istekli olduklarını gösterdiler.
Cyble araştırmacıları tarafından özetlenen aşağıdaki uygulamalar saldırganlara karşı ilk kontrol hattında yardımcı olabilir.
- Ortamda onaylanmamış herhangi bir RMM çözümünün yürütülmesini önleyin.
- Onaylanmamış tüm RMM çözümleriyle ilişkili etki alanlarını engelle.
- Kuruluşlar, yaygın sosyal mühendislik saldırılarını tespit etmek ve önlemek için düzenli olarak güvenlik farkındalığı ve bilgi güvenliği eğitimleri düzenlemelidir.
- Cihazlarınızı, işletim sistemlerinizi ve uygulamalarınızı güncel tutun.
- Bilgisayarınızda saygın bir antivirüs ve internet güvenliği yazılım paketi kullanın.
sistem.