Saldırganlar, Ajan Tesla adı verilen bir kötü amaçlı yazılım türünü dağıtmak için kimlik avı kampanyalarının bir parçası olarak eski bir Microsoft Office güvenlik açığını silah olarak kullanıyor.
Enfeksiyon zincirleri, potansiyel hedefleri kandırıp bunları açmaları için kandırmak ve Office’in Denklem Düzenleyicisi’ndeki kod bozulmasına yol açabilecek bir bellek bozulması güvenlik açığı olan CVE-2017-11882’nin (CVSS puanı: 7,8) kullanılmasını etkinleştirmek için fatura temalı iletilere eklenen sahte Excel belgelerinden yararlanır. kullanıcının ayrıcalıklarıyla yürütme.
Zscaler ThreatLabz’dan gelen bulgular, Fortinet FortiGuard Labs’ın, kötü amaçlı yazılımı yaymak için güvenlik açığından yararlanan benzer bir kimlik avı kampanyasının ayrıntılarını içeren önceki raporlarına dayanıyor.
Güvenlik araştırmacısı Kaivalya Khursale, “Kullanıcı kötü amaçlı bir eki indirip açtığında, Microsoft Excel sürümünün güvenlik açığı varsa, Excel dosyası kötü amaçlı bir hedefle iletişim başlatır ve başka bir kullanıcı etkileşimi gerektirmeden ek dosyalar indirmeye devam eder.” dedi.
İlk yük, Base64 kodlu bir DLL dosyasıyla birlikte gelen kötü amaçlı bir JPG dosyasının indirilmesini başlatan, gizlenmiş bir Visual Basic Komut Dosyasıdır. Bu steganografik kaçınma taktiği daha önce Eylül 2023’te McAfee Labs tarafından da ayrıntılı olarak açıklanmıştı.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Gizlenen DLL daha sonra son yükü başlatmak için Windows Derleme Kayıt Aracı RegAsm.exe’ye enjekte edilir. Yürütülebilir dosyanın geçmişte Quasar RAT’ı yüklemek için kötüye kullanıldığı da unutulmamalıdır.
Agent Tesla, güvenliği ihlal edilmiş ana bilgisayarlardan hassas bilgileri toplamak için donatılmış, .NET tabanlı bir gelişmiş keylogger ve uzaktan erişim truva atıdır (RAT). Kötü amaçlı yazılım daha sonra toplanan verileri çıkarmak için uzak bir sunucuyla iletişim kurar.
Khursale, “Tehdit aktörleri enfeksiyon yöntemlerini sürekli olarak uyarlıyor, bu da kuruluşların dijital ortamlarını korumak için gelişen siber tehditler konusunda güncel kalmasını zorunlu kılıyor.” dedi.
Bu gelişme, eski güvenlik kusurlarının tehdit aktörleri için yeni saldırı hedefleri haline gelmesiyle ortaya çıktı. Bu haftanın başlarında Imperva, Oracle WebLogic Server’daki üç yıllık bir kusurun (CVE-2020-14883, CVSS puanı: 7,2) 8220 Gang tarafından kripto para birimi madencilerine hizmet vermek için kullanıldığını açıkladı.
Bu aynı zamanda, bu yılın başlarında bir hizmet olarak kötü amaçlı yazılım (MaaS) teklifi olarak ve Ağustos 2023’te kaldırıldıktan sonra QakBot’un yerine geçecek şekilde tanıtılmaya başlanan DarkGate kötü amaçlı yazılım faaliyetlerindeki artışla da aynı zamana denk geliyor.
Zscaler, müşteri telemetri verilerine atıfta bulunarak, “Teknoloji sektörü DarkGate saldırı kampanyalarından en çok etkilenen sektördür” dedi.
“DarkGate alan adlarının çoğu 50 ila 60 günlüktür ve bu, tehdit aktörlerinin belirli aralıklarla alan adları oluşturup döndürdüğü kasıtlı bir yaklaşıma işaret edebilir.”
Sophos’a göre, RedLine Stealer veya Vidar Stealer gibi bilgi çalan kötü amaçlı yazılımları dağıtmak için rezervasyonla ilgili e-posta mesajlarıyla konaklama sektörünü hedef alan kimlik avı kampanyaları da keşfedildi.
Araştırmacılar Andrew Brandt ve Sean Gallagher, “Başlangıçta hedefle yalnızca metin içeren e-posta yoluyla iletişime geçiyorlar, ancak hizmet odaklı bir işletmenin (otel gibi) konuyla hızlı bir şekilde yanıt vermek isteyeceği bir konu varsa” dedi.
“Tehdit aktörü, ancak hedefin tehdit aktörünün ilk e-postasına yanıt vermesinden sonra, talep veya şikayetleriyle ilgili ayrıntılar olduğunu iddia ettiği bağlantının yer aldığı bir takip mesajı gönderir.”
Hırsızlara ve truva atlarına rağmen, kimlik avı saldırıları, Insta-Phish adı verilen bir plan olan hesap korumalarını atlatmak amacıyla sahte web sayfaları aracılığıyla kullanıcıların iki faktörlü kimlik doğrulama (2FA) yedek kodlarını çalmak için sahte Instagram “Telif Hakkı İhlali” e-postaları şeklini aldı. -A-Gram.
Siber güvenlik firması, “Saldırganların bu tür kimlik avı saldırılarından elde ettiği veriler yeraltında satılabilir veya hesabı ele geçirmek için kullanılabilir” dedi.