FakeSG, NetSupport RAT sunmak için ‘FakeUpdates’ alanına giriyor


Güvenliği ihlal edilmiş WordPress sitelerinden yararlanan yeni bir kampanya, başka bir sahte tarayıcı güncellemesiyle ortaya çıkıyor.

5 yılı aşkın bir süre önce, kullanıcıları sahte bir tarayıcı güncellemesi çalıştırmaları için kandırmak üzere güvenliği ihlal edilmiş web sitelerini kullanan FakeUpdates (SocGholish olarak da bilinir) adını verdiğimiz yeni bir kampanyayı izlemeye başladık. Bunun yerine, kurbanlar sonunda bilgisayarlarına NetSupport RAT bulaştırarak tehdit aktörlerinin uzaktan erişim elde etmesine ve ek yükler sağlamasına olanak tanır. Yıllar boyunca gördüğümüz gibi, SocGholish, Cobalt Strike veya Mimikatz gibi araçların kurulumunu kolaylaştırdıktan sonra sayısız kurbanı ele geçirmeyi ve fidye yazılımı sağlamayı başarmış köklü bir oyuncudur.

Şimdi, “sahte güncellemeler” ortamında garip bir şekilde tanıdık görünen potansiyel yeni bir rakip var. FakeSG olarak adlandırdığımız yeni kampanya, kurbanın tarayıcısını taklit eden özel bir açılış sayfası görüntülemek için saldırıya uğramış WordPress web sitelerine de güveniyor. Tehdit aktörleri, NetSupport RAT’ı sıkıştırılmış indirme veya bir İnternet kısayolu aracılığıyla dağıtıyor. FakeSG yeni gelen biri gibi görünse de, onu ciddiye alınması gereken bir tehdit haline getiren ve potansiyel olarak SocGholish ile rekabet edebilecek farklı gizleme ve dağıtım teknikleri katmanları kullanır.

Kampanya benzerlikleri

Bu yeni kampanyayı ilk olarak Randy McEoin’in bir Mastodon gönderisi sayesinde duyduk. Taktikler, teknikler ve prosedürler (TTP’ler) SocGholish’inkilere çok benzer ve ikisinin ilişkili olduğunu düşünmek kolay olacaktır. Aslında bu zincir aynı zamanda NetSupport RAT’a da yol açar. Ancak şablon kaynak kodu oldukça farklıdır ve faydalı yük teslimi farklı bir altyapı kullanır. Sonuç olarak, bu varyantı FakeSG olarak adlandırmaya karar verdik.

Orijinal kamu keşfi

Şablonlar

FakeSG, kurbanın hangi tarayıcıyı çalıştırdığına bağlı olarak farklı tarayıcı şablonlarına sahiptir. Temalı “güncellemeler” çok profesyonel görünüyor ve SocGholish muadilinden daha güncel.

Sahte Chrome güncellemesi

Sahte Kenar güncellemesi

Sahte Firefox güncellemesi

Web sitesi enjeksiyonları

Güvenliği ihlal edilmiş web sitelerine (WordPress en büyük hedef gibi görünüyor), mevcut web sayfasını yukarıda belirtilen sahte güncelleme şablonlarıyla değiştiren bir kod parçacığı enjekte edilir. Kaynak kodu, Google’ı taklit eden birkaç alandan birinden yüklenmiştir (google-analytiks[.]com) veya Adobe (adobeflash’ı güncelle[.]İnternet sitesi):

Saldırıya uğramış web sitelerine kötü amaçlı kod enjekte edildi

Bu kod, sahte tarayıcı güncelleme sayfasını oluşturmak için gereken tüm web öğelerini (resimler, yazı tipleri, metin) içerir. SocGholish’in, kendi kendine yeten Base64 kodlu görüntüleri kullanmaya başladığı yakın zamana kadar medya dosyalarını ayrı web isteklerinden almak için kullanıldığını not etmeliyiz.

Chrome şablonu için kaynak kodu

Kurulum akışı

Bu kampanya için farklı yükleme akışları var, ancak biz URL kısayolu kullanana odaklanacağız. Tuzak yükleyici (%20Updater%20(V104.25.151)-stable.url’yi yükleyin), güvenliği ihlal edilmiş başka bir WordPress sitesinden indirilen bir İnternet kısayoludur.

Kötü amaçlı URL kısayoluBu kısayol, dosyayı almak için WebDav HTTP protokol uzantısını kullanır. başlatıcı-upd.hta uzak bir sunucudan:

WebDav kötü niyetli HTA

Bu yoğun şekilde gizlenmiş betik, son kötü amaçlı yazılım yükünü (NetSupport RAT) indiren PowerShell’in yürütülmesinden sorumludur.

Kötü amaçlı HTA dosyasının kaynağı

Malwarebytes’in EDR’si tüm saldırı zincirini gösterir (büyütmek için lütfen tıklayın):

Malwarebytes EDR tarafından görüntülenen Killchain

NetSupport RAT dosyaları, daha önce İnternet kısayolunu indirmek için kullanılan aynı güvenliği ihlal edilmiş WordPress sitesinde barındırılmaktadır. RAT’ın ana ikili dosyası şu adresten başlatılır: “C:\Users\%username%\AppData\Roaming\BranScale\client32.exe“.

NetSupport RAT

Başarılı bir bulaşmanın ardından, 94.158.247 adresindeki RAT’ın komut ve kontrol sunucusuna geri aramalar yapılır.[.]27.

Tam bulaşmadan kaynaklanan web trafiği

oda arkadaşları

Sahte tarayıcı güncellemeleri, kötü amaçlı yazılım yazarları tarafından kullanılan çok yaygın bir tuzaktır. SocGholish’e ek olarak Domen araç seti, 2019’da ortaya çıkan sağlam bir çerçeveydi ve sczriptzzbn olarak bilinen başka bir kampanya SolarMarker’ı bıraktı ve her iki durumda da NetSupport RAT’a yol açtı. İlk erişim aracıları, bilgi toplamak ve ilgili kurbanlar hakkında ek eylemler gerçekleştirmek için NetSupport RAT gibi araçları kullanır. Çalınan kimlik bilgileri, fidye yazılımı çetelerine bağlı diğer tehdit aktörlerine yeniden satılabilir.

Bu nispeten küçük alanda başka bir yarışmacı görmek ilginç. Çok sayıda savunmasız web sitesi olmasına rağmen, bazılarına birden çok farklı kötü amaçlı kod enjekte edildiğini zaten görüyoruz. Bir ziyaretçinin bakış açısından bu, birden fazla yönlendirme olabileceği, ancak “kazanan”ın kötü amaçlı JavaScript kodunu ilk çalıştırabilen kişi olacağı anlamına gelir.

Web dağıtım ortamının değişip değişmediğini görmek için bu kampanyaları ve özellikle SocGholish’i izlemeye devam edeceğiz. Malwarebytes müşterileri, bu saldırılarda kullanılan altyapıyı ve nihai yükü tespit ettiğimiz için korunur.

EDR tespiti

Uzlaşma Göstergeleri (IOC’ler)

FakeSG altyapısı

178.159.37[.]73
google-analytiks[.]com
googletagmanagar[.]com
updateadobeflash[.]website

WebDav başlatıcısı

206[.]71[.]148[.]110
206[.]71[.]148[.]110/Downloads/launcher-upd[.]hta

NetSupport RAT

pietrangelo[.]it/wp-content/uploads/2014/04/BranScale[.]zip
pietrangelo[.]it/wp-content/uploads/2014/04/client32[.]exe

NetSupport RAT C2

94[.]158[.]247[.]27

MITRE ATT&CK teknikleri

taktikİDİsimDetaylar
UygulamakT1059Komut ve Komut Dosyası TercümanıYükü indirmek için kullanılan Powershell
T1059.001Güç kalkanıKomutların yürütülmesi için POWERSHELL.EXE’yi başlatır
T1059.003Windows Komut KabuğuKomutların yürütülmesi için CMD.EXE’yi başlatır
Ayrıcalık artışıT1548İstismar Yüksekliği Kontrol MekanizmasıKodlanmış PowerShell
T1548.002Kullanıcı Hesabı Denetimini Atlayın
Savunma kaçırmaT1564Eserleri Gizle Kodlanmış PowerShell
T1218Sistem İkili Proxy Yürütme CMSTP.inf dosyasını %temp% konumuna düşürür
T1027Gizlenmiş Dosyalar veya Bilgiler %temp% içinde th5epzxc.cmdline’ı bırakır
T1112Kayıt Defterini DeğiştirKayıt defterine anahtar ekler: HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shell\open\command /f /ve /t REG_SZ /d C:\Users\admin\AppData\Roaming\BranScale\client32. exe
T1548İstismar Yüksekliği Kontrol Mekanizması
T1140Dosyaların veya Bilgilerin Gizlemesini Kaldırın/Kodunu Çözün Kodlanmış PowerShell
keşifT1082Sistem Bilgisi Keşfibilgisayar adını alır
Bilgi ve KoşullarT1071Uygulama Katmanı ProtokolüNetSupport RAT C2 iletişimi
T1571Standart Olmayan Bağlantı NoktasıLiman hedefi: 5051

Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.

ŞİMDİ DENE



Source link