Bilgisayar korsanları, geniş bir kitleye hızlı bir şekilde ulaşmak için mükemmel bir fırsat sundukları için sponsorlu Google Reklamlarından yararlanır.
Sponsorlu reklamlara kötü amaçlı bağlantılar veya içerik enjekte etmek, kullanıcıları yanıltarak bunlara tıklamalarına neden olabilir ve potansiyel olarak kötü amaçlı yazılım bulaşmasına veya kimlik avı planlarına neden olabilir.
eSentire’ın seçkin tehdit avcıları ve analistlerden oluşan 7/24 SOC’leri, tehditleri 24 saat hızla tespit eder, araştırır ve bunlara yanıt verir, Kaseya ihlali ve more_eggs kötü amaçlı yazılımı gibi tehlikeli tehditleri ortaya çıkardı.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Son zamanlarda, eSentire’ın Tehdit Yanıt Birimi (TRU), FIN7 bilgisayar korsanlarının MSIX verileri sunmak için sponsorlu Google Ads’ü aktif olarak kötüye kullandığını keşfetti.
Nisan 2024’te, eSentire’ın Tehdit Müdahale Birimi (TRU), Rus mali motivasyonlu tehdit grubu FIN7’nin dahil olduğu çok sayıda olay tespit etti.
Aktörler, NetSupport RAT ve DiceLoader kötü amaçlı yazılımlarını sunmak için AnyDesk, WinSCP ve Google Meet gibi büyük markaların kimliğine bürünen kötü amaçlı web sitelerini kullandı.
Kurbanlar, sponsorlu Google Ads aracılığıyla, “SOFTWARE SP ZOO” ve “SOFTWARE BYTES LTD” cephelerinden imzalı MSIX dosyaları gibi görünen sahte tarayıcı uzantılarını indirmeleri için kandırıldı. eSentire, GlobalSign’ın kötü amaçlı sertifikalarını başarıyla iptal etti.
.webp)
MSIX dosyasında gösterildiği gibi bu üç bileşen, sistem bilgilerini toplayacak, antivirüs yazılımı başlıklarını kaydedecek ve C2 URL’leri oluşturmak ve ekstra komut dosyaları almak için GUID’ler oluşturacaktır.
.webp)
Sunucu yanıtı “usradm” ifadesini içerdiğinde, belirli URL formatları ve kullanıcı aracıları aracılığıyla NetSupport RAT yüklerini indirmeye devam etti.
İndirilen NetSupport arşivi C:\ProgramData\netsupport dizinine çıkarıldı; burada FIN7, çok aşamalı enfeksiyon zincirinin bir gösterimi olarak RAT yürütülebilir dosyasını yürüttü.
İkinci olay, NetSupport RAT’ı düşüren sahte bir MSIX “MeetGo” yükleyicisini indiren bir kullanıcıyı içeriyordu.
Saatler sonra, RAT aracılığıyla bağlanan tehdit aktörü, Active Directory bilgisayar verilerini dışa aktarmak için csvde.exe’yi kullandı ve svchostc.exe (python.exe olarak yeniden adlandırıldı) ve svchostc.py’yi (Python yükü) içeren bir “Adobe_017301.zip” arşivini indirdi.
Keşif sonrasında, DiceLoader kötü amaçlı yazılımının şifresini çözen ve belleğe enjekte eden svchostc.py dosyasını kalıcı hale getirmek için zamanlanmış bir görev oluşturuldu ve veri bölümüne gömülü XOR şifreli C2’lerle iletişim kurdu.
.webp)
Bu, FIN7’nin güvenilir markaları, imzalı MSIX dosyalarını ve NetSupport RAT gibi çok aşamalı yükleri kötüye kullanarak DiceLoader’a yol açtığını gösteriyor.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Uç Nokta Algılama ve Yanıt (EDR) çözümlerini tüm cihazlara dağıtın.
- Kimlik Avı ve Güvenlik Farkındalığı Eğitimi (PSAT) programını uygulayın.
- AppLocker politikaları aracılığıyla MSIX yürütmesini kontrol edin.
- Tehdit aktörleri tarafından sertifikanın kötüye kullanıldığı vakaları bildirin.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide