Güvenlik satıcısı Huntress, uç nokta koruma aracısı için bir internet reklamına aktif bir siber suçlu tıkladığında ve yazılımı yüklediğinde bir deneme müşterisinden daha fazlasını aldı.
Temsilci tehdit oyuncunun bilgisayarını izlerken, Huntress’in Güvenlik Operasyon Merkezi (SOC), bir buçuk saatten az bir sürede kişi, araçları ve genel iş akışı hakkında çok sayıda benzersiz bilgi öğrenebildiğinden, güvenlik satıcısı itnews.
Tehdit oyuncusu neden Huntress ajanını kurdu, ancak güvenlik firması, yapay zeka yardımıyla yeniden uzatıldığı için “omuz omuza” yapabildi, arama motorlarını araştırma tekniklerini ve kaynaklarını kullandı ve kendilerini Google Translate’den yararlandı ve kişinin ustalaşmadığı dillerdeki siteleri araştırırken.
Huntress, bir blog yazısında aldığı telemetri bulgularını paylaştı.
Bilgilerin çoğu tehdit oyuncunun tarayıcı geçmişinden geldi, ancak başka veri kaynakları da vardı.
Jill Levy, “Blogda paylaşılanların iyi bir kısmı tarayıcı geçmişine odaklanıyor, çünkü bu bize operasyonları hakkında çok fazla bilgi sağladı.” Dedi. itnews.
“Bununla birlikte, soruşturma sırasında bunu belirlemek için kullanılan başka bir telemetri vardı, işlem yürütmeleri, temel makine bilgileri (mevcut saat, zaman dilimi, IP adresi vb.), Windows olay günlükleri ve kötü amaçlı yazılım dosyaları;
Middle-In-the Middle Saldırı Çerçevesi Evilginx ve diğerleri keşif, pespiltrasyon ve sosyal mühendislik gibi birkaç kötü niyetli araç seti de Huntress tarafından tehdit oyuncusu bilgisayarında keşfedildi.
Tehdit oyuncusu ayrıca konut proxy hizmetlerini kullanmaya, kötü niyetli etkinlikleri algılamadan gizlemek için çalışmaya çalıştı ve Info-Sefer günlüklerini, çalınan kimlik bilgilerini ve diğer bilgileri kontrol etmek için Styx “Dark Web” forumunda bir hesap kaydetti.
Kaynak: Avcı
Telemetri aracılığıyla topladığı bilgileri yayınlamakla ilgili etik hususlar olmasına rağmen, Huntress, bilgisayarda yürütülen kötü amaçlı yazılımlara yanıt verdiğini, yönetilen temsilcisinin deneme sürümünün yüklendiğini söyledi.
Levy ve Huntress çalışanları Lindsey O’Donnell-Welch ve Michael Tigges, “Tehdit oyuncunun bu olayda kullandığı Tradecraft hakkında öğrendiklerimizi paylaşarak daha geniş bir topluluğa hizmet etmek istedik.”
“Bu soruşturma hakkında hangi bilgileri yayınlayacağına karar verirken, gizlilik yükümlülüklerimizi kesinlikle korumak ve özellikle savunuculara yardımcı olabilecek tehditleri ve davranışları yansıtan EDR telemetrisini yaymak gibi çeşitli faktörleri dikkatlice değerlendirdik.”
Levy, tehdit oyuncusunun EDR ajanının deneme sürümünü 9 Temmuz UTC’de kurduğunu söyledi.
SOC analistlerinin, ajanın etkinleştirilmesinden 84 dakika sonra kullanıcının kötü niyetli olduğunu ve uç noktanın bir tehdit oyuncusu tarafından kullanıldığına dair yeterli kanıtları olduğunda yazılımı zorla kaldırdığını belirlediğini de sözlerine ekledi.
Dünyanın çeşitli yerlerindeki bankaları ve diğer kuruluşları hedefleyen tehdit oyuncusu hakkında çok az şey öğrenildi.