Son aylarda, devlet bağlantılı tehdit aktörlerinin şüpheli olmayan iş arayanları içermek ve gelişmiş kötü amaçlı yazılım sunmak için sahte iş tekliflerinden yararlandığı sofistike bir kampanya ortaya çıktı.
Bu saldırganlar, kurbanları benzer kariyer portallarına yönlendiren, önde gelen havacılık ve savunma firmalarını taklit eden ikna edici kimlik avı e-postaları üretiyorlar.
Cazibe genellikle adaylara sahte giriş sayfalarına kimlik bilgileri girmeleri için rehberlik etmeden önce, ayrıntılı iş tanımları ve markalı grafiklerle tamamlanan profesyonel ağlarda kişiselleştirilmiş bir sosyal yardım ile başlar.
Kimlik doğrulandığında, site kurban makinelerinde gizli dayanaklar kuran ısmarlama implantlar içeren kötü niyetli bir arşiv sunar.
Check Point analistleri, bu operasyonun evriminin kitlesel pazar kimlik avıdan sıkıca kontrol edilen hedef başına etkileşime kadar belirgin bir kaymayı temsil ettiğini belirtti.
Saldırganlar, gizlilik hizmetlerinin arkasına alan adlarını kaydederek ve her bir kurbanı benzersiz kimlik bilgileriyle sağlayarak operasyonel güvenliği sürdürür ve tespiti en aza indirir.
Kötü amaçlı yükler yalnızca başarılı kimlik doğrulamasından sonra teslim edilir ve güvenlik araştırmacılarının genel tarama yoluyla siteleri kolayca ortaya çıkaramamasını sağlar.
Araştırmacılar tarafından minijunk ve minibrowse olarak adlandırılan kötü amaçlı yazılımların ortaya çıkan varyantları, modüler mimarileri statik ve dinamik analizi engelleyen şaşkınlık katmanlarına sahip.
Minijunk uzun vadeli kalıcılığa odaklanır: Windows API, ortak antivirüs sezgisel tarlalarını atlayan bir teknik olan alternatif yollardan kötü niyetli DLL’ler yüklemek için çağrılarını değiştirir.
Bu arada, Minibrowse, verileri şifrelenmiş kanallar üzerinden eksifiltrikasyon yapmadan önce web oturumu çerezlerini, tarayıcı geçmişini ve kaydedilmiş kimlik bilgilerini sessizce hasat eder.
Bu kampanyaların etkisi bireysel uzlaşmanın ötesine uzanmaktadır. Hedeflenen kuruluşlar, telekomünikasyon, havacılık ve savunma sözleşmesi gibi kritik sektörler de dahil olmak üzere Orta Doğu ve Avrupa’yı kapsamaktadır.
Kalan bir girişimde, bir Avrupa havacılık ve uzay firmasında mühendislik rolü için başvuran bir aday, farkında olmadan, yürütme saniyeleri içinde bir ters kabuk bağlantısı kuran bir slugresin türevi yükü kullandı.
Bu enfeksiyonlar sayesinde, tehdit aktörleri kurumsal ağlara kalıcı erişim, casusluk için yollar, fikri mülkiyet hırsızlığı ve sonraki yanal hareket elde ederler.
Enfeksiyon mekanizması ve DLL kaçırma
Minijunk varyantının merkezinde, meşru pencereler süreçlerini altüst eden rafine bir DLL kaçırma stratejisi yatıyor.
İlk yürütmeden sonra, yükleyici, PEB’i (işlem ortamı bloğu) yamalayarak, DLL çözünürlüğünü saldırgan kontrolündeki dizinlere yönlendirerek işlemin arama yolunu değiştirir.
Aşağıdaki psödok kodu: temel adımları göstermektedir:-
// Patch PEB to redirect DLL search
PPEB peb = NtCurrentTeb()->ProcessEnvironmentBlock;
UNICODE_STRING evilPath = RTL_CONSTANT_STRING(L"C:\\Users\\Public\\WinSys\\");
peb->ProcessParameters->DllDirectory = evilPath;
// Load target process with hijacked DLLs
STARTUPINFO si = {0};
PROCESS_INFORMATION pi;
CreateProcessW(L"C:\\Windows\\System32\\svchost.exe", NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
ResumeThread(pi.hThread);Bu teknik, svchost.exe veya benzer güvenilir ikili dosyalar başlatıldığında, meşru sistem DLL’leri yerine kötü amaçlı kütüphaneler yüklemelerini sağlar.
.webp)
Yükleyiciyi görünüşte iyi huylu bir yürütülebilir dosyaya yerleştirerek, saldırganlar uç nokta güvenlik araçlarında anında alarmlar vermeden gizli ve kalıcılık elde ederler.
Kuruluşlar katı kod bütünlüğü politikalarını uygulamalı ve bu tür saldırıları tespit etmek ve hafifletmek için olağandışı DLL yük davranışlarını izlemelidir.
Süreç enjeksiyon modellerinin sürekli analizi ve DLL arama yollarının validasyonu, ortaya çıkan bu tehdide karşı kritik savunmalar olacaktır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
