Rus BT endüstrisini hedefleyen sofistike bir siber saldırı kampanyası ortaya çıktı ve tehdit aktörlerinin kötü şöhretli Kobalt Strike Beacon kötü amaçlı yazılımlarını dağıtmak için nasıl meşru çevrimiçi platformlardan nasıl yararlandığını gösteriyor.
Kasım ve Aralık 2024’te zirve yapan ve Nisan 2025’e kadar devam eden kampanya, saldırı metodolojisinde önemli bir evrimi temsil ederek popüler sosyal medya platformlarını ve kod depolarını komut ve kontrol altyapısı olarak kullanıyor.
Saldırganlar, özellikle petrol ve gaz sektöründe, büyük devlet şirketlerinden meşru iletişim olarak gizlenmiş mızrak aktı e-postaları ile başlayan karmaşık bir çok aşamalı dağıtım mekanizması kullandılar.
.webp)
Bu özenle hazırlanmış mesajlar, geleneksel güvenlik algılama sistemlerinden kaçınmak için tasarlanmış kötü niyetli RAR arşivleri içeriyordu.
Kampanyanın kapsamı, Çin, Japonya, Malezya ve Peru’da tespit edilen ve öncelikle büyük ve orta ölçekli işletmeleri hedef alan kötü niyetli faaliyetlerin kanıtı ile Rusya’nın ötesine geçti.
Bu kampanyayı birbirinden ayıran şey, sosyal medya platformlarının ve popüler web sitelerinin yenilikçi kullanımı, kötü niyetli yükler için hazırlama alanı olarak kullanılmasıdır.
Securelist analistler, saldırganların GitHub, Microsoft Learn Challenge, Quora ve Rusça sosyal ağlar hakkında sahte profiller kurduklarını belirledi.
Bu teknik, kötü amaçlı yazılımın meşru web trafiğiyle sorunsuz bir şekilde karışmasını sağlar ve algılamayı geleneksel güvenlik çözümleri için önemli ölçüde daha zor hale getirir.
Saldırının karmaşıklığı, DLL kaçırma ve dinamik API çözünürlüğü de dahil olmak üzere gelişmiş kaçınma tekniklerini kullanarak teknik uygulamasına kadar uzanıyor.
Kötü amaçlı yazılım, özellikle normal sistem işlemlerinin görünümünü korurken kötü amaçlı kod yüklemek için DLL ikamesi olarak bilinen bir teknikle sömürülür.
Teknik enfeksiyon mekanizması
Enfeksiyon zinciri, kurbanlar, kullanıcıları aldatmak için tasarlanmış özenle yapılandırılmış bir dizin hiyerarşisi içeren kötü niyetli RAR arşivini açtığında başlar.
Arşiv, ilk yürütme vektörü olarak hizmet veren “трования.lnk” adlı kötü niyetli bir LNK dosyasının yanı sıra meşru görünümlü PDF dosyalarını içerir.
.webp)
Yürütme üzerine, LNK dosyası aşağıdaki komut sırası aracılığıyla bir dizi dosya işlemi gerçekleştirir:-
%cd% /c echo F | xcopy /h /y %cd%\Требования\Требования %public%\Downloads\
& start %cd%\Требования
& ren %public%\Downloads\Company.pdf nau.exe
& ren %public%\Downloads\Requirements.pdf BugSplatRc64.dll
& %public%\Downloads\nau.exeBu sıra, gizli dosyaları indirme dizine kopyalar, bunları meşru yürütülebilir dosyalar olarak görünmesi için yeniden adlandırır ve birincil yükü başlatır.
.webp)
Kötü amaçlı yazılım, Bugsplat’ın gerekli DLL’sini ele geçirerek, meşru işlevsellik yerine kötü amaçlı kod yüklemeye zorlayarak kullanır.
Kötü amaçlı yazılım daha sonra, ek yük URL’lerini ortaya çıkaran Base64 kodlu, xor şifreli veriler içeren sosyal medya profillerini sorgular.
Analiz, profillerle iletişimi ortaya çıkardı https://techcommunity.microsoft.com/t5/user/viewprofilepage/user-id/2631 Ve https://www.quora.com/profile/Marieformachson kobalt grev yükünü barındıran GitHub depolarına işaret eden çıkarılan verilerle.
Bu kampanya, saldırganların, meşru web hizmetlerinde kötü niyetli faaliyetleri tanımlayabilen gelişmiş algılama yeteneklerine duyulan ihtiyacı vurgulayarak, saldırganların popüler platformların doğasında var olan güveni kullandıkları gelişen tehdit manzarasını göstermektedir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin