Trend Micro araştırmacıları, bir tehdit aktörünün DarkGate kötü amaçlı yazılımını hedef kuruluşlara dağıtmak için ele geçirilen Skype hesaplarını kullandığı konusunda uyardı.
“DarkGate’in sürümleri, Mayıs 2023’ten bu yana Rusça dil forumu eCrime’da tanıtılıyor. O zamandan bu yana, kötü amaçlı yazılım kullanılarak yapılan ilk giriş saldırılarının sayısında bir artış gözlemlendi” dediler.
DarkGate kötü amaçlı yazılımı Skype ve Teams aracılığıyla geliyor
Tehdit aktörü, güvenilir bir harici tedarikçinin kimliğine bürünerek hedef kuruluştaki çalışanlarla iletişim kurmak için güvenliği ihlal edilmiş Skype hesaplarından yararlanır.
Trend Micro’nun araştırmacıları, “Kurbanın Skype hesabına erişim, aktörün mevcut bir mesajlaşma dizisini ele geçirmesine ve dosyaların adlandırma kuralını sohbet geçmişi bağlamıyla ilişkilendirecek şekilde oluşturmasına olanak sağladı” dedi.
“Anlık mesajlaşma uygulamalarının kaynak hesaplarının nasıl ele geçirildiği belli değil, ancak bunun ya yer altı forumları aracılığıyla sızdırılan kimlik bilgileri ya da ana kuruluşun daha önceki bir ihlali yoluyla olduğu varsayılıyor.”
Skype mesajı, PDF dosyası olarak görünen bir VBS komut dosyası içerir. Kurban tarafından yürütüldükten sonra komut dosyası, DarkGate kötü amaçlı yazılımını sonunda ortadan kaldırmak için bir AutoIT komut dosyasını indirir ve çalıştırır. Araştırmacılar ayrıca DarkGate’in kurbanın sistemine yüklendikten sonra ek yükler düşürdüğünü de keşfetti.
DarkGate enfeksiyon zinciri Skype’ı kötüye kullanıyor. (Kaynak: Trend Micro)
DarkGate kötü amaçlı yazılımının dağıtımı yalnızca Skype aracılığıyla gerçekleştirilmiyor. Başka bir örnekte, kuruluşun sistemi kurbanın harici kullanıcılardan mesaj almasına izin verdiği için tehdit aktörü, Microsoft Teams aracılığıyla hedef kuruluşun çalışanlarıyla iletişime geçti.
“Skype rutini VBS dosyasını bir PDF belgesi olarak gizlerken, Teams uzlaşma sürümünde saldırganlar bunun yerine bir .LNK dosyasını gizlediler. Üstelik Teams’i kötüye kullanan örnek bilinmeyen, harici bir göndericiden geldi” dedi.
Kötü amaçlı yazılımları doğrudan hedeflerin MS Teams gelen kutusuna göndermek nispeten yeni bir saldırı taktiğidir. Saldırıyı mümkün kılan “güvenlik açığı” bu yılın başlarında Jumpsec araştırmacıları tarafından belgelendi ve saldırganların bunu kötüye kullanmaya başlaması uzun sürmedi.
Son olarak araştırmacılar, VBA komut dosyasının üçüncü bir dağıtım yöntemini de fark ettiler: oluşturucunun SharePoint sitesinden bir .ZIP dosyası olarak gelen bir .LNK dosyası yoluyla.
Kuruluşların, kullanıcı hesaplarını daha güvenli hale getirmek için harici etki alanlarını engellemeyi, ekleri kontrol etmeyi, tarama ve çok faktörlü kimlik doğrulamayı uygulayarak güvenlik farkındalığı eğitimlerini artırmaları ve IM uygulamalarının kullanımını kontrol etmeleri teşvik edilmektedir.
Neden DarkGate? Neden şimdi?
İlk olarak 2017’nin sonlarında belgelenen DarkGate, keşif komutlarını çalıştırabilen, (yasal) uzaktan erişim yazılımını uygulayabilen, tuş vuruşlarını günlüğe kaydedebilen, tarayıcılar tarafından depolanan bilgileri çalabilen ve
“DarkGate aynı zamanda kötü amaçlı yeteneklerini sağlamak ve yürütmek için AutoIt adlı Windows’a özgü bir otomasyon ve komut dosyası oluşturma aracını da kullanıyor. Ancak tarihsel olarak IcedID, Emotet veya Qakbot gibi önemli yükleyicilerin hiçbirinin bunu kötüye kullandığı gözlemlenmedi, bu da araştırmacıların veya güvenlik ekiplerinin etkinliği kötü amaçlı yazılım kampanyasına bağlamasını kolaylaştırıyor,” diye belirtti Trend Micro araştırmacıları.
Belirli saldırılarda kullanılan DarkGate varyantını kimin satın aldığına (veya kiraladığına) bağlı olarak, DarkGate enfeksiyonunun takibi gizli kripto madenciliği veya fidye yazılımı dağıtımını içerebilir. “Telemetrimizden DarkGate’in genellikle Black Basta fidye yazılımı grubuyla ilişkilendirilen araçların tespit edilmesine yol açtığını gördük.”
DarkGate’in son zamanlardaki popülaritesi, daha önce saldırganlar tarafından geniş bir hedef havuzuna her türlü kötü amaçlı yazılımı dağıtmak için yaygın olarak kullanılan Emotet ve Qakbot botnet’lerinin kolluk kuvvetleri tarafından kesintiye uğratılmasından kaynaklanıyor olabilir.