Microsoft Tehdit İstihbaratı, Aralık 2024’ün başlarında, bilgi çalmak için tasarlanmış fırsatçı bir saldırıya küresel olarak yaklaşık bir milyon cihazı enfekte eden büyük ölçekli bir kötü niyetli kampanyayı tespit etti.
Kampanya, hem tüketici hem de işletme cihazlarını etkileyen çok çeşitli kuruluşları ve endüstrileri etkiledi ve tehdidin ayrım gözetmeyen doğasını vurguladı.
Microsoft, bu etkinliği, uzaktan erişim veya bilgi çalma kötü amaçlı yazılımlarla ilişkili tehdit aktörlerini tanımlamak için kullandıkları şemsiye adı Storm-0408 altında izliyor.
Saldırı, kullanıcıların genellikle korsan videolara eriştiği yasadışı akış web sitelerinden kaynaklandı.
Bu web siteleri, görüntüleme başına ödeme veya tıklama başına ödeme geliri oluşturmak için film çerçeveleri içindeki kötüverizasyon yönlendiricilerini gömdü.
.webp)
Video web sitelerinden gelen kodlar, IFRAMS içeriyordu. Bu siteleri ziyaret eden kullanıcılar, farkında olmadan dört ila beş katlama katmanı zinciriyle yeniden yönlendirildi ve sonuçta GitHub’da barındırılan kötü amaçlı içeriğe yol açtı.
GitHub, başlangıç erişim yüklerinin sunulmasında kullanılan birincil platform iken, Microsoft ayrıca Discord ve Dropbox’ta barındırılan bazı yükleri gözlemledi.
.webp)
O zamandan beri GitHub’ın güvenlik ekibi ile işbirliği yoluyla devredilen GitHub depoları, kurbanların cihazlarına ek kötü amaçlı dosyalar ve komut dosyaları dağıtmak için kullanılan kötü amaçlı yazılımları sakladı.
Enfeksiyon süreci sofistike çok aşamalı bir yaklaşım izledi.
.webp)
GitHub’a yönlendirme gerçekleştikten sonra, kötü amaçlı yazılım kullanıcının cihazında bir ilk taban kurdu ve ek yük aşamaları için bir damlalık olarak işlev gördü.
Birinci aşama yük, GitHub’dan kurbanın cihazına düştü, bir dayanak oluşturdu ve işlevselliklerinden yararlanmak için genellikle meşru görünümlü dosyalar bıraktı.
Saldırı zinciri
İkinci aşamalı yük, sistem keşfi ve bellek boyutu, grafik kartı detayları, ekran çözünürlüğü, işletim sistemi bilgileri ve kullanıcı yolları gibi toplanan veriler.
Bu bilgiler, sunucuları komuta ve kontrol etmek için bir sorgu parametresi olarak baz 64 kodlanmış ve eksfiltratlanmıştır. Gözlenen tipik URL biçimi: “http: ///login.php? Event = init & id = & data =”.
Üçüncü aşamada, ikinci aşama yüke bağlı olarak, bazen eşlik eden kodlanmış PowerShell komut dosyaları ile bir veya birden fazla yürütülebilir olabilir.
Bu dosyalar komut yürütme, yük dağıtım, savunma kaçırma, kalıcılık kuruluşu ve veri açığa çıkmasını başlattı. Dikkate değer bir PowerShell betiği, Microsoft Defender ayarlarını değiştirmek için Add-MPPReference cmdlet’i kullandı:-
Add-MpPreference -ExclusionPath 'C:\Users\\AppData\Local\Temp'
Add-MpPreference -ExclusionPath 'C:\Users\\AppData\Roaming'
Add-MpPreference -ExclusionPath 'C:\ProgramData'Son aşamalar, tarayıcı kimlik bilgilerini ve diğer hassas verileri toplamak için Lumma Stealer ve Doenerium da dahil olmak üzere bilgi stealer’larını dağıttı.
Ayrıca, bir uzak izleme ve yönetim yazılımı olan Netsupport, genellikle bilgi çalıcılarının yanına konuşlandırıldı.
Saldırganlar, Firefox, Chrome ve Edge tarayıcılarından çerezler, oturum açma verileri ve web formu bilgilerini içeren hassas tarayıcı veri dosyalarına erişti.
Microsoft, kuruluşların bu tehdidi tanımlamasına ve azaltmasına yardımcı olmak için ayrıntılı algılama rehberliği ve av sorguları yayınladı.
Araştırmacılar, Microsoft Defender yapılandırmalarını güçlendirmeyi, çok faktörlü kimlik doğrulamasını uygulamayı ve gelecekte benzer saldırıları önlemek için çeşitli koruyucu önlemlerin sağlanmasını önerir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free