Siber güvenlik araştırmacıları, Mixshell olarak adlandırılan bellek içi kötü amaçlı yazılımlarla tedarik zinciri-kritik imalat şirketlerini hedefleyen sofistike bir sosyal mühendislik kampanyasına dikkat çekiyorlar.
Etkinliğe kodlandı Zipline kontrol noktası araştırması ile.
Hacker News ile paylaşılan bir açıklamada, “İstenmeyen kimlik avı e -postaları göndermek yerine, saldırganlar bir şirketin kamuoyu ‘Bize İletişim’ formu aracılığıyla iletişim başlatarak, çalışanları konuşmaya başlamaya kandırıyor.” Dedi. “Bundan sonra, gizemli bir bellek içi kötü amaçlı yazılım olan Mixshell’i taşıyan silahlandırılmış bir fermuar dosyası sunmadan önce, genellikle sahte NDA’larla mühürlenen profesyonel, güvenilir borsalar.”
Saldırılar, sektörler ve coğrafi konumlar arasında birden fazla kuruluşu kapsayan, ancak ABD tabanlı kuruluşlara vurgu yaparak geniş bir ağ oluşturdu. Birincil hedefler, makineler, metal işleri, bileşen üretimi ve mühendislik sistemleri gibi endüstriyel üretimdeki şirketlerin yanı sıra donanım ve yarı iletkenler, tüketim malları, biyoteknoloji ve farmasötikler ile ilgili şirketleri içerir.
Bu farklı, ancak odaklanmış hedefleme, kampanyanın arkasındaki tehdit aktörlerinin tedarik zinciri için kritik olan endüstri sektörlerini geliştirme olasılığını artırdı. Zipline tarafından hedeflenen diğer ülkeler arasında Singapur, Japonya ve İsviçre bulunmaktadır.
Kampanyanın provenansı ve güdüleri şu anda belirsizdir, ancak Check Point, daha önce Zscaler ve Proofpoint tarafından tanımlanan bir IP adresi arasında, UNK_GREENSEC olarak adlandırılan bir tehdit kümesi tarafından yürütülen aktarma yükleyici saldırılarında kullanılan bir IP adresi arasında örtüşen dijital sertifikaları belirlediğini söyledi.
Zipline, tehdit aktörlerinin, bir şirketin web sitelerinde ABD iletişim formu aracılığıyla hedeflere yaklaşmak, böylece herhangi bir potansiyel endişeyi ortadan kaldırma sürecine olan güveni silahlandırmak gibi, yasal iş iş akışlarına giderek daha fazla bankacılık yaptıklarının bir başka örneğidir.
Web sitesi iletişim formlarını kötü amaçlı yazılım dağıtım vektörü olarak kullanma yaklaşımı tamamen yeni olmasa da, Zipline’ın öne çıktığı, alıcıları istenmeyen eylemler yapmak için kandırmak için korkutucu taktiklerden ve acil bir dilden kaçındığı yer.
Bu hasta, sosyal mühendislik tekniği, kurbanları çok haftalık konuşmalara çekmeyi, hatta bazı durumlarda, bu booby hapsetmiş zip dosyaları göndermeden önce gizlilik sözleşmelerini (NDA’lar) imzalamalarını söyler. Son sosyal mühendislik dalgaları, yapay zeka (AI) dönüşüm eğiliminden de yararlandı ve saldırganlar, hedef kuruluşların maliyetleri azaltmak ve verimliliği artırmak için yeni AI merkezli girişimler uygulamalarına yardımcı olmak için “sunuyor”.
Saldırı zinciri, çok aşamalı yükler, bellek içi yürütme ve DNS tabanlı komut ve kontrol (C2) kanalları ile karakterize edilir ve tehdit oyuncunun radar altında kalmasına izin verir.
Spesifik olarak, zip arşivleri, bir PowerShell yükleyicisini tetikleyen bir Windows kısayolu (LNK) ile birlikte gelir, bu da daha sonra uzaktan komut yürütme, dosya çalışması, tertibat proxying, sabit ağ infiltrasyonunu desteklemek için DNS tünelini ve HTTP’yi kullanan özel bellek içi mixshell implantının yolunu açar.
Mixshell ayrıca gelişmiş önleme anti-debugging ve sanalbox kaçırma tekniklerini içeren, kalıcılık için planlanan görevleri kullanan ve ters proxy kabuğu ve dosya indirme özelliklerini düşüren bir PowerShell varyantında gelir.
Kötü amaçlı fermuar dosyaları, Herokuapp’ın bir alt alanında barındırılır[.]Com, Web uygulamalarını barındırmak için hesaplama ve depolama altyapısı sağlayan bir Hizmet Olarak Meşru bir Platform (PAAS) olan-bir kez daha tehdit oyuncunun normal kurumsal ağ etkinliği ile karışmak için meşru hizmetleri kötüye kullandığını gösteriyor.
Yürütme zincirini başlatmaktan sorumlu LNK dosyası, kurbanın şüphesini uyandırmamak için ZIP dosyasında bulunan bir cazibe belgesini de görüntüler. Bununla birlikte, Check Point, Heroku etki alanından sunulan tüm ZIP dosyalarının kötü niyetli olmadığını, belirli kriterlere göre gerçek zamanlı olarak gerçek zamanlı olarak verimi önerdiğini belirtti.
Check Point, “Saldırgan birçok durumda, ABD merkezli şirketlerde kayıtlı LLC’lerin adlarıyla eşleşen alanlar kullanıyor ve bazı durumlarda daha önce meşru işletmelere ait olabilir.” Dedi. “Saldırgan, büyük ölçüde iyi planlanmış ve aerodinamik bir kampanyaya işaret eden tüm bu şirketlere benzer şablon web sitelerini koruyor.”
Kampanya, fikri mülkiyet ve fidye yazılımı saldırılarına, iş e -posta uzlaşmasına ve finansal sahtekarlığa neden olan hesap devralmalarına ve basamaklı etkilerle potansiyel tedarik zinciri kesintilerine yol açabileceğinden şirketler için ciddi riskler oluşturmaktadır.
Check Point Research Tehdit İstihbarat Grubu yöneticisi Sergey Shykevich, “Zipline kampanyası, kimlik avının e-postalardaki şüpheli bağlantılarla ilgili olduğuna inanan her işletme için bir uyandırma çağrısıdır.” Dedi.
“Saldırganlar her zamankinden daha hızlı yenilik yapıyorlar-insan psikolojisini, güvenilir iletişim kanallarını ve zamanında AI temalı yemleri harmanlamak. Güvende kalmak için kuruluşlar, önleme, AI odaklı savunmaları benimsemeli ve her gelen etkileşimi potansiyel bir tehdit olarak ele alan bir uyanıklık kültürü oluşturmalıdır.”