Güvenliği ihlal edilmiş WordPress sitelerinden yararlanan yeni bir kampanya, başka bir sahte tarayıcı güncellemesiyle ortaya çıkıyor.
5 yılı aşkın bir süre önce, kullanıcıları sahte bir tarayıcı güncellemesi çalıştırmaları için kandırmak üzere güvenliği ihlal edilmiş web sitelerini kullanan FakeUpdates (SocGholish olarak da bilinir) adını verdiğimiz yeni bir kampanyayı izlemeye başladık. Bunun yerine, kurbanlar sonunda bilgisayarlarına NetSupport RAT bulaştırarak tehdit aktörlerinin uzaktan erişim elde etmesine ve ek yükler sağlamasına olanak tanır. Yıllar boyunca gördüğümüz gibi, SocGholish, Cobalt Strike veya Mimikatz gibi araçların kurulumunu kolaylaştırdıktan sonra sayısız kurbanı ele geçirmeyi ve fidye yazılımı sağlamayı başarmış köklü bir oyuncudur.
Şimdi, “sahte güncellemeler” ortamında garip bir şekilde tanıdık görünen potansiyel yeni bir rakip var. FakeSG olarak adlandırdığımız yeni kampanya, kurbanın tarayıcısını taklit eden özel bir açılış sayfası görüntülemek için saldırıya uğramış WordPress web sitelerine de güveniyor. Tehdit aktörleri, NetSupport RAT’ı sıkıştırılmış indirme veya bir İnternet kısayolu aracılığıyla dağıtıyor. FakeSG yeni gelen biri gibi görünse de, onu ciddiye alınması gereken bir tehdit haline getiren ve potansiyel olarak SocGholish ile rekabet edebilecek farklı gizleme ve dağıtım teknikleri katmanları kullanır.
Kampanya benzerlikleri
Bu yeni kampanyayı ilk olarak Randy McEoin’in bir Mastodon gönderisi sayesinde duyduk. Taktikler, teknikler ve prosedürler (TTP’ler) SocGholish’inkilere çok benzer ve ikisinin ilişkili olduğunu düşünmek kolay olacaktır. Aslında bu zincir aynı zamanda NetSupport RAT’a da yol açar. Ancak şablon kaynak kodu oldukça farklıdır ve faydalı yük teslimi farklı bir altyapı kullanır. Sonuç olarak, bu varyantı FakeSG olarak adlandırmaya karar verdik.
Şablonlar
FakeSG, kurbanın hangi tarayıcıyı çalıştırdığına bağlı olarak farklı tarayıcı şablonlarına sahiptir. Temalı “güncellemeler” çok profesyonel görünüyor ve SocGholish muadilinden daha güncel.
Web sitesi enjeksiyonları
Güvenliği ihlal edilmiş web sitelerine (WordPress en büyük hedef gibi görünüyor), mevcut web sayfasını yukarıda belirtilen sahte güncelleme şablonlarıyla değiştiren bir kod parçacığı enjekte edilir. Kaynak kodu, Google’ı taklit eden birkaç alandan birinden yüklenmiştir (google-analytiks[.]com) veya Adobe (adobeflash’ı güncelle[.]İnternet sitesi):
Bu kod, sahte tarayıcı güncelleme sayfasını oluşturmak için gereken tüm web öğelerini (resimler, yazı tipleri, metin) içerir. SocGholish’in, kendi kendine yeten Base64 kodlu görüntüleri kullanmaya başladığı yakın zamana kadar medya dosyalarını ayrı web isteklerinden almak için kullanıldığını not etmeliyiz.
Kurulum akışı
Bu kampanya için farklı yükleme akışları var, ancak biz URL kısayolu kullanana odaklanacağız. Tuzak yükleyici (%20Updater%20(V104.25.151)-stable.url’yi yükleyin), güvenliği ihlal edilmiş başka bir WordPress sitesinden indirilen bir İnternet kısayoludur.
Bu kısayol, dosyayı almak için WebDav HTTP protokol uzantısını kullanır. başlatıcı-upd.hta uzak bir sunucudan:
Bu yoğun şekilde gizlenmiş betik, son kötü amaçlı yazılım yükünü (NetSupport RAT) indiren PowerShell’in yürütülmesinden sorumludur.
Malwarebytes’in EDR’si tüm saldırı zincirini gösterir (büyütmek için lütfen tıklayın):
NetSupport RAT dosyaları, daha önce İnternet kısayolunu indirmek için kullanılan aynı güvenliği ihlal edilmiş WordPress sitesinde barındırılmaktadır. RAT’ın ana ikili dosyası şu adresten başlatılır: “C:\Users\%username%\AppData\Roaming\BranScale\client32.exe“.
Başarılı bir bulaşmanın ardından, 94.158.247 adresindeki RAT’ın komut ve kontrol sunucusuna geri aramalar yapılır.[.]27.
oda arkadaşları
Sahte tarayıcı güncellemeleri, kötü amaçlı yazılım yazarları tarafından kullanılan çok yaygın bir tuzaktır. SocGholish’e ek olarak Domen araç seti, 2019’da ortaya çıkan sağlam bir çerçeveydi ve sczriptzzbn olarak bilinen başka bir kampanya SolarMarker’ı bıraktı ve her iki durumda da NetSupport RAT’a yol açtı. İlk erişim aracıları, bilgi toplamak ve ilgili kurbanlar hakkında ek eylemler gerçekleştirmek için NetSupport RAT gibi araçları kullanır. Çalınan kimlik bilgileri, fidye yazılımı çetelerine bağlı diğer tehdit aktörlerine yeniden satılabilir.
Bu nispeten küçük alanda başka bir yarışmacı görmek ilginç. Çok sayıda savunmasız web sitesi olmasına rağmen, bazılarına birden çok farklı kötü amaçlı kod enjekte edildiğini zaten görüyoruz. Bir ziyaretçinin bakış açısından bu, birden fazla yönlendirme olabileceği, ancak “kazanan”ın kötü amaçlı JavaScript kodunu ilk çalıştırabilen kişi olacağı anlamına gelir.
Web dağıtım ortamının değişip değişmediğini görmek için bu kampanyaları ve özellikle SocGholish’i izlemeye devam edeceğiz. Malwarebytes müşterileri, bu saldırılarda kullanılan altyapıyı ve nihai yükü tespit ettiğimiz için korunur.
Uzlaşma Göstergeleri (IOC’ler)
FakeSG altyapısı
178.159.37[.]73
google-analytiks[.]com
googletagmanagar[.]com
updateadobeflash[.]website
WebDav başlatıcısı
206[.]71[.]148[.]110
206[.]71[.]148[.]110/Downloads/launcher-upd[.]hta
NetSupport RAT
pietrangelo[.]it/wp-content/uploads/2014/04/BranScale[.]zip
pietrangelo[.]it/wp-content/uploads/2014/04/client32[.]exe
NetSupport RAT C2
94[.]158[.]247[.]27
MITRE ATT&CK teknikleri
| taktik | İD | İsim | Detaylar |
| Uygulamak | T1059 | Komut ve Komut Dosyası Tercümanı | Yükü indirmek için kullanılan Powershell |
| T1059.001 | Güç kalkanı | Komutların yürütülmesi için POWERSHELL.EXE’yi başlatır | |
| T1059.003 | Windows Komut Kabuğu | Komutların yürütülmesi için CMD.EXE’yi başlatır | |
| Ayrıcalık artışı | T1548 | İstismar Yüksekliği Kontrol Mekanizması | Kodlanmış PowerShell |
| T1548.002 | Kullanıcı Hesabı Denetimini Atlayın | ||
| Savunma kaçırma | T1564 | Eserleri Gizle | Kodlanmış PowerShell |
| T1218 | Sistem İkili Proxy Yürütme | CMSTP.inf dosyasını %temp% konumuna düşürür | |
| T1027 | Gizlenmiş Dosyalar veya Bilgiler | %temp% içinde th5epzxc.cmdline’ı bırakır | |
| T1112 | Kayıt Defterini Değiştir | Kayıt defterine anahtar ekler: HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shell\open\command /f /ve /t REG_SZ /d C:\Users\admin\AppData\Roaming\BranScale\client32. exe | |
| T1548 | İstismar Yüksekliği Kontrol Mekanizması | ||
| T1140 | Dosyaların veya Bilgilerin Gizlemesini Kaldırın/Kodunu Çözün | Kodlanmış PowerShell | |
| keşif | T1082 | Sistem Bilgisi Keşfi | bilgisayar adını alır |
| Bilgi ve Koşullar | T1071 | Uygulama Katmanı Protokolü | NetSupport RAT C2 iletişimi |
| T1571 | Standart Olmayan Bağlantı Noktası | Liman hedefi: 5051 |
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE