Kurumsal insan kaynakları departmanlarını hedefleyen sofistike bir siber kampanya ortaya çıkarıldı ve saldırganlar tehlikeli bir arka kapıyı dağıtmak için iş başvurusu eklerini açma rutin uygulamasından yararlandı.
Finansal olarak motive olmuş tehdit grubu Venom Spider, bu kampanyanın arkasında, işe alım yöneticilerine ve işe alım görevlilerine aday özgeçmiş gibi görünen ancak aslında kötü niyetli dosyalar olan bağlantılarla mızrak-aktarma e-postaları gönderiyor.
More_Eggs olarak bilinen arka kapı, kimlik bilgisi hırsızlığından hassas müşteri ödeme verilerini, fikri mülkiyeti ve ticari sırları çalmaya kadar çok çeşitli kötü amaçlı faaliyetler için kaldırılabileceğinden özellikle ilgili bir tehdittir.
.png
)
Bu, tarihsel olarak çevrimiçi ödeme portalları veya perakende, eğlence ve eczane sektörleri de dahil olmak üzere e-ticaret sitelerini kullanan endüstrilere odaklanan Venom Spider için taktik bir evrimi temsil eder.
Arctic Wolf araştırmacıları, İK departmanlarını hedeflemeye yönelik bu pivotun, evrensel bir güvenlik açığı nedeniyle neredeyse her sektörü riske attığını belirledi: yeni çalışanlar işe alma ihtiyacı.
Analizleri, kurbanları daha etkili bir şekilde enfekte etmek ve sanal alan gibi otomatik güvenlik analiz tekniklerinden kaçmak için tasarlanmış kötü amaçlı yazılım tasarımında birkaç yükseltme ortaya koydu.
İK departmanlarını özellikle savunmasız kılan şey, çalışmalarının doğasıdır. İşverenler ve işe alım yöneticileri, işlerinin temel bir parçası olarak bilinmeyen dış kaynaklardan e -posta eklerini rutin olarak açmalıdır.
Tehdit aktörleri, bu operasyonel gerekliliği tanımış ve aktif olarak kullanıyorlar, bu da İK’yı örgütsel güvenliğin en zayıf bağlantılarından biri haline getiriyor.
Enfeksiyon, bir işe alım görevlisinin bir iş başvurusu sahibinin özgeçmişine yol açan bir bağlantı içeren bir mızrak aktı e-postası aldığında başlar.
Tıkladıktan sonra, kurban, bir Captcha doğrulaması Adım A Step ile aktör kontrollü bir web sitesine yönlendirilir-insan kullanıcıları için meşru görünürken otomatik güvenlik tarayıcılarını atlamaya yardımcı olan akıllı bir teknik.
Enfeksiyon mekanizması: özgeçmişten arka kapıya
Enfeksiyon zinciri oldukça sofistike. Mağdur Captcha testini geçtikten sonra, dikkat dağıtıcı olarak hizmet veren bir görüntü dosyasının yanında kötü niyetli Windows kısayolu (.lnk) dosyası içeren bir zip dosyası indirmeleri.
Tehdit oyuncusu altyapısı, her bir indirme ile her bir indirme ve dosya boyutları ile her bir saldırı örneği benzersiz olan farklı kod gizlemesi ve dosya boyutları ile benzersiz bir kötü niyetli .lnk dosyası oluşturarak sunucu polimorfizmini kullanır.
Yürütüldüğünde, kötü amaçlı kısayol, %temp %\ ieuinit.inf adresindeki bir dosyaya oluşturan ve yazan yüksek derecede şaşkın bir Windows komut kabuğu komut dosyası çalıştırır.
Bu komut dosyası, Meşru Windows yardımcı programı IE4UInit.exe aracılığıyla gizlice yürütürken kullanıcıyı dikkatini dağıtmak için Microsoft Wordpad’i başlatır.
.webp)
Toplu iş dosyasının bir segmenti bu aldatmacayı gösterir:-
@echo off
start "" "%ProgramFiles%\Windows NT\Accessories\wordpad.exe"...
echo [version] > "%temp%\ieuinit.inf"
echo Signature=$CHICAGO$ >> "%temp%\ieuinit.inf"
echo [DefaultInstall] >> "%temp%\ieuinit.inf"
cacls "%windir%\system32\ie4uinit.exe" /Y /C /QEnfeksiyon, her yürüttüğünde yeni bir JavaScript yükü oluşturan C: \ Users \%Kullanıcı Adı%\ AppData \ Roaming \ Adobe \ d {5} .dll’de More_Eggs_Dropper Kütüphanesi oluşturulmasıyla ilerler.
Bu JavaScript, tipik olarak birkaç dakikalık işlem süresi gerektiren ve otomatik analiz sistemlerinden etkili bir şekilde kaçan Brute Force-A tekniği ile elde edilen üç bayt ile birleştirilmiş sert kodlanmış bir anahtarla sofistike şifreleme kullanır.
.webp)
Venom Spider’ın JavaScript damlalık yükü, kötü amaçlı yazılımın, bilgisayar adı ve işlemci tanımlayıcısı gibi sisteme özgü bilgilerin bir kombinasyonunu kullanarak mağdurun sisteminde yalnızca şifreli veri bloklarını nasıl kullandığını gösterir.
Tamamen çalıştırıldıktan sonra, More_Eggs, işletim sistemi kurulum tarihi, antivirüs ayrıntıları, kullanıcı adı, bilgisayar adı, işletim sistemi sürümü, IP adresi ve bu zekayı daha fazla istismar veya veri hırsızlığı işlemlerinde kaldırması için komut ve kontrol sunucularına daha fazla satmak gibi kapsamlı sistem bilgilerini toplar.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.