İlk Erişim Brokerleri, Brezilya yöneticilerini NF-E spam ve yasal RMM denemeleri aracılığıyla hedefleyin


09 Mayıs 2025Ravie LakshmananKötü Yazılım / E -posta Güvenliği

Siber güvenlik araştırmacıları, Ocak 2025’ten bu yana Ticari Uzaktan İzleme ve Yönetim (RMM) yazılımının deneme sürümleriyle Brezilya’da Portekizce konuşan kullanıcıları hedefleyen yeni bir kampanyayı uyarıyor.

Cisco Talos araştırmacısı Guilherme Venere Perşembe günü yaptığı açıklamada, “Spam mesajı, Brezilya elektronik fatura sistemi NF-E’yi, kullanıcıları tıklama ve Dropbox’ta barındırılan kötü niyetli içeriğe erişmeye ikna etmek için bir cazibe olarak kullanıyor.” Dedi.

Saldırı zincirleri, finansal kurumlardan veya cep telefonu taşıyıcılarından kaynaklandığını iddia eden özel hazırlanmış spam e -postaları, kullanıcıları RMM aracı için ikili bir yükleyiciye işaret eden sahte dropbox bağlantılarını tıklamaya kandırmak için gecikmiş faturaların veya olağanüstü ödemelerin uyarısı ile başlar.

Gözlemlenen iki önemli RMM aracı, N-RMM RMM uzaktan erişim ve PDQ Connect’tir ve saldırganlara uzak dosya sistemine dosya okuma ve yazma olanağı verir.

Bazı durumlarda, tehdit aktörleri daha sonra ilk uzlaşmadan sonra screenconnect gibi ek bir RMM yazılımını indirmek ve kurmak için bu ajanların uzaktan özelliklerini kullanırlar.

Gözlemlenen ortak alıcılara dayanarak, kampanyanın temel olarak bazı eğitim ve devlet kurumları da dahil olmak üzere çeşitli sektörlerde C seviyesi yöneticilerini ve finans ve insan kaynakları hesabını hedeflediği bulunmuştur.

Ayrıca, etkinliğin, yetkisiz erişim elde etmek için çeşitli RMM programlarıyla ilişkili ücretsiz deneme sürelerini kötüye kullanan bir başlangıç ​​erişim brokeri (IAB) çalışması olduğu konusunda yüksek güvenle değerlendirilmiştir. N-Eble, etkilenen deneme hesaplarını devre dışı bırakmak için adımlar attı.

Siber güvenlik

Venere, “Düşmanların ticari RMM araçlarını kötüye kullanması son yıllarda sürekli arttı.” Dedi. Diyerek şöyle devam etti: “Bu araçlar tehdit aktörleri için ilgi çekicidir, çünkü genellikle tanınan varlıklar tarafından dijital olarak imzalanırlar ve tamamen öne çıkan bir arka kapıdır.”

Diyerek şöyle devam etti: “Ayrıca tüm bunlar genellikle deneme sürümü uygulaması tarafından sağlandığından, yazılım veya altyapıda çok az veya hiç maliyeti yoktur.”

Geliştirme, modern savunmaları ortadan kaldırmak ve çok çeşitli kötü amaçlı yazılım ailelerini yaymak veya mağdurların kimlik bilgilerini toplamak için tasarlanmış çeşitli kimlik avı kampanyalarının ortaya çıkmasından kaynaklanmaktadır –

  • Grandoreiro Bankacılık Truva atını Meksika ve Kosta Rika’daki kullanıcılara dağıtmak için HIVE0148 adlı bir Güney Amerika siber suç grubu tarafından yürütülen bir kampanya.
  • Güvenlik korumalarını atlamak için Getshared adlı meşru bir dosya paylaşım hizmeti kullanan bir kampanya ve kullanıcıları, kötü amaçlı yazılım barındırma bağlantılarına yönlendirmeye yönlendiren bir kampanya
  • Denklem Düzenleyicisi’nde (CVE-2017-11882) bir yıllık kusura duyarlı bir Microsoft Word belgesi aracılığıyla formbook kötü amaçlı yazılımları sunmak için satış siparişi temalı lures kullanan bir kampanya
  • İspanya, İtalya ve Portekiz’deki kuruluşları, uzak komutları, günlük tuşlarını, yakalamayı yakalayabilen ve hassas verileri çalabilen Ratty Rat adlı Java tabanlı bir uzaktan erişim Truva atı dağıtmak için fatura ile ilgili temaları kullanarak hedefleyen bir kampanya
  • Milanote olarak bilinen meşru bir not alma başvurusu kullanan bir kampanya ve bir “yeni anlaşma” izleme kisvesi altında kullanıcıların kimlik bilgilerini yakalamak için Tycoon 2FA olarak adlandırılan bir Ortada Düşman (AITM) kimlik avı kiti kullanan bir kampanya
  • Kodlanmış JavaScript’i SVG dosyalarında kullanan kampanyalar, PDF eklerindeki bu kaba sıkışmış bağlantılar, onedrive ile barındırılan dosyalarda çalışma zamanında oluşturulan dinamik kimlik avı URL’leri ve OpenXML yapılarında arşivlenmiş MHT yüklerini, kullanıcıları kimlik bilgileri veya phishish sayfalarına yönlendirmeye yönlendiren MHT yüklerini yönlendiren kampanyalar
  • Asyncrat gibi kötü amaçlı yazılımları dağıtmak için Cloudflare’nin TryCloudFlare Tünelleme özelliğini kötüye kullanan kampanyalar

Intezer araştırmacısı Yuval Guri, “Saldırganlar, modern e -posta ve uç nokta güvenlik çözümlerini atlamak için sürekli olarak taktikleri geliştirerek, kimlik avı girişimlerini algılama ve azaltma gittikçe zorlaştırıyor.” “Ve siber güvenlik araçlarındaki gelişmelere rağmen, birçok kimlik avı kampanyası hala kullanıcıların gelen kutularına başarıyla ulaşıyor.”

Bu makaleyi ilginç mi buldunuz? Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link