Son raporlar, bankacılık sektörünün ortaya çıkan bir tedarik zinciri saldırısını kullanan tehdit aktörlerinin odak noktası haline geldiğini gösteriyor. Her biri benzersiz taktikler ve tehdit aktörlerini içeren iki farklı olay tespit edilmiştir.
Kuruluşlar, güvenlik açığı taramasını yalnızca Yazılım Geliştirme Yaşam Döngüsü (SDLC) geliştirme aşamasında uygular ve bu, kuruluşların karşı karşıya olduğu mevcut tehditler için yetersizdir.
Bu, iki açık kaynaklı yazılım tedarik zinciri saldırısının açıkça tanımlandığı ilk örnekti.
Bankacılık Sektöründe İlk Olay
Nisan başındaki ilk olay, tehdit aktörü tarafından geliştirilen ve yüklenen birkaç npm paketini içeriyordu. Bu paketler, kurulum sırasında yürütülen bir ön kurulum komut dosyası içerir.
Bu paketin katılımcısı, hedeflenen bankanın çalışanı olarak sahte bir LinkedIn profiline bağlandı.
Kötü amaçlı paket çalıştırıldıktan sonra, başlangıçta ilgili şifrelenmiş dosyaların kodunu çözmek için kullanılan işletim sistemi hakkında bilgi toplar.
Kod çözme işleminden sonra, şifrelenmiş dosyalar ikinci aşama kötü amaçlı bir ikili dosyayı indirmek için kullanılır.
Ayrıca, yaygın olarak kullanılan bir kötü amaçlı yazılım tarama aracı olan VirusTotal, Linux’a özgü ikinci aşama ikili dosyayı algılamadı.
Bu, tehdit aktörünün tespit edilmeden kalması ve sızmada başarılı olması için avantaj sağlar.
Buna ek olarak tehdit aktörü, Azure’da hedeflenen bankanın adıyla birleştirilmiş bir alt alan adı kullanıyordu. Bu, Azure’un etki alanları varsayılan olarak beyaz listeye alındığından, büyük bir potansiyel saldırı yüzeyi işlevi gördü.
Son olarak saldırgan, saldırının ikinci aşaması için Havoc Framework’ü kullandı. Havoc Framework, saldırıların yönetimi, koordinasyonu ve modifikasyonu yeteneğine sahip gelişmiş bir istismar sonrası çerçeve olan @C5pider tarafından geliştirilmiştir.
İkinci Olay
İkinci saldırı, Şubat 2023’te gerçekleşti ve başka bir banka, Nisan saldırısıyla tamamen alakasız farklı bir tehdit grubu tarafından hedef alındı.
Ancak bu saldırı, bankanın giriş sayfasında devre dışı kalacak ve tetiklenmedikçe hareket etmeyecek şekilde tasarlanmış ustalıkla hazırlanmış bir NPM paketini de içeriyordu.
Daha fazla araştırma, yükün oturum açma sayfasının HTML’sinde benzersiz bir Öğe Kimliğine sahip olduğunu ve kendisini belirli bir oturum açma formu öğesine iliştirdiğini ve bunun da algılanıp oturum verilerini toplamasını engellediğini ortaya çıkardı.
Daha sonra öğe, tehdit aktörlerinin ana hedefi olan bankanın mobil oturum açma sayfasına kadar izlendi.
Uzlaşma Göstergeleri
- 4eb44e10dba583d06b060abe9f611499eee8eec8ca5b6d007ed9af40df87836d
- d2ee7c0febc3e35690fa2840eb707e1c9f8a125fe515cc86a43ba485f5e716a7
- f4a57a3b28c15376dbb8f6b4d68c8cb28e6ba9703027ac66cbb76ee0eb1cd0c9
- 4e54c430206cd0cc57702ddbf980102b77da1c2f8d6d345093819d24c875e91a
- 79c3d584ab186e29f0e20a67187ba132098d01c501515cfdef4265bbbbd8cbcbf
- hxxp[:]//*[:]masmavi kenar[:]net/AnnyPhaedra.bin
- hxxp[:]//*[:]masmavi kenar[:]net/KellinaCordey.bin
- hxxp[:]//*[:]masmavi kenar[:]net/MidgeWileen.bin
Kuruluşların bu tür tedarik zinciri saldırılarını önlemek için güvenlik önlemlerini gözden geçirmeleri ve geliştirmeleri önerilir.