Bu ayın başlarında, hukuk firması kılığına giren siber suçlular, birden fazla şirketi, ileride daha büyük saldırılara yol açabilecek ilk erişim kötü amaçlı yazılımlarını indirmeleri için kandırdı.
BlueVoyant'ın “Denizgergedanı Örümceği” (diğer adıyla TA544, Storm-0302) olarak takip ettiği söz konusu grup, en az 2017 yılına kadar uzanan mali amaçlı kampanyalarıyla siber araştırmacılar tarafından iyi biliniyor. Windows SmartScreen'de bir günlük güvenlik açığı.
İki hafta önce – 7 Mart'ta – grup en son soygununu gerçekleştirdi: yasal fatura kılığına girmiş PDF'lerin içine ilk erişime yönelik kötü amaçlı yazılımların gizlendiği neredeyse anlık bir kimlik avı saldırısı.
BlueVoyant'ın kıdemli güvenlik araştırmacısı Joshua Green, “Bu bir çarpışma ve kapma olayı gibi görünüyor” diyor. “Altyapıyı açın, yaygın bir kimlik avı kampanyasıyla mümkün olduğunca fazlasını gönderin ve ardından altyapıyı kapatıp yolunuza devam edin.”
Sahte Yasal Faturalar
Narwhal Spider'ın e-postalarının her biri, yasal hizmetler için orijinal bir fatura gibi görünecek şekilde tasarlanmış kötü amaçlı bir PDF ile başlıyordu. Dosyalara şu formatta yasal görünen adlar verildi: “Fatura_[number]_itibaren_[law firm name].pdf.”
Green'in dediği gibi, “Bu oldukça standart bir taktik çünkü işe yarıyor; özellikle de beklemiyorsanız, makbuzun cazibesi.” [impersonating] Profesyonel çevrelerdeki kişilerin akıllarına gelen hukuk firmaları, son kullanıcıyı daha meraklı hale getiriyor. Bilirsiniz, 'Tıklayıp gidip burada neler olduğunu göreyim'.”
Bu kampanyada komuta ve kontrol (C2) için kullanılan WordPress siteleri, becerikli bir indirme aracı olan WikiLoader'a bağlı alanları içeriyordu İlk olarak Proofpoint tarafından tanımlandı Sonbahar. Diğer anti-analiz teknikleri arasında, WikiLoader en çok küçük bir numarayla tanınır: İnternete bağlı bir cihazda mı yoksa yalıtılmış bir sanal alan ortamında mı olduğunu belirlemek için Wikipedia'ya bir HTTPS isteği göndermek. Artıklık için, aynı zamanda kayıtlı olmayan bir alana da ping gönderir ve geçerli bir yanıt döndürülürse sonlandırılır. Korumalı alanlar genellikle sorgu ne olursa olsun geçerli yanıtları besleyecek ve kötü amaçlı yazılım örneklerini kendi işlerini yapmaya teşvik edecek şekilde tasarlanmıştır.
Şu ana kadar WikiLoader daha uygulanabilir ve yıkıcı kötü amaçlı yazılımlardan önce gelme eğiliminde. Son SmartScreen kampanyasında, bu kötü amaçlı yazılım Remcos RAT'tı, ancak bu saldırılar aynı zamanda SystemBC RAT ve Narwhal Spider'ın tarihsel olarak en sevdiği kötü amaçlı yazılım olan Gozi (Ursnif) bankacılık Truva Atı'nın da habercisi oldu.
Bu sefer kampanyayla ilişkili VirusTotal yüklemeleri şunu gösteriyor: bankacılık Truva Atı/yükleyici IcedID böyle bir takip yükü olabilir.
Kuruluşlar Neler Yapabilir?
Green, tarihsel olarak Narwhal Spider'ın İtalyan organizasyonlarını hedefleme konusunda uzmanlaştığını ancak “geçen yılın sonuna doğru bu düşmanın genişlemeye başladığını gösteriyor. Bu onların özellikle ABD'yi hedef alma menzilinde olduklarını gösteriyor” diye uyarıyor. 7 Mart saldırıları Kanada ve Avrupa'daki hedeflere de ulaştı.
Grup, birden fazla dilde barebone e-postalar hazırlayarak balonundan kurtuldu; son zamanlarda daha yaygınmodern yapay zeka çeviri araçları sayesinde.
Bu nedenle BlueVoyant, bu e-postalardan birini alabilecek herhangi bir kuruluşa, alışılmadık trafik düzenlerine veya herhangi bir harici PDF fatura akışına, özellikle de “Fatura_” ifadesini takip eden dosyalara sahip olanlara karşı dikkatli olmalarını önerir.[number]_itibaren_[law firm name].pdf” formatındadır. Green, şirketlerin çalışanlarını kimlik avı e-postalarını nasıl tespit edecekleri konusunda yeterince eğitmeleri gerektiğini de ekliyor.
“Bu oldukça standart bir kinaye ama: çoğu kurumsal ortamda son kullanıcı en zayıf noktadır” diyor.