RIG Exploit Kit, hala eski Internet Explorer tarayıcısını hedefleyen son büyük yararlanma kitlerinden biridir.
Çok küçük bir tarayıcı pazar payına rağmen, Internet Explorer (IE) hala RIG istismar kiti (EK) gibi istismar kitleri tarafından istismar edilmektedir.
İstismar kitinin arkasındaki kötü amaçlı yazılım dağıtıcıları için önemli bir avantaj, eski tarayıcının kullanım ömrünün sonuna (EOL) ulaşmış olmasıdır; bu, bilinen tehditlere karşı güvenlik güncellemelerini ve yamaları artık almadığı anlamına gelir.
Malwarebytes’in Tehdit İstihbaratı Kıdemli Direktörü Jérôme Segura’ya göre:
“RIG EK, muhtemelen hala ortalıkta dolaşan Internet Explorer’ı hedef alan son istismar kitlerinden biridir. Son birkaç yıldır aynı kötü amaçlı reklam kampanyaları aracılığıyla RIG EK faaliyetini gözlemledik.”
İstismar kiti, kötü amaçlı yazılım dağıtmak için tarayıcılarda ve eklentilerinde en yaygın olarak bulunan istemci tarafı güvenlik açıklarından yararlanmayı kolaylaştırmak için tasarlanmış bir araç takımıdır. Açıklardan yararlanma kitiyle birincil bulaşma yöntemi, siber suçluların potansiyel kurbanları tarayıcılarının parmak izlerinin alınabileceği ve güvenlik açıklarının sisteme bulaşmak için serbest bırakılabileceği bir siteye çekmesiyle gerçekleşen, arabayla indirme saldırısıdır. İstismar kiti işleyicisi için ideal olarak, bu tür saldırılar saniyeler içinde sessizce gerçekleşir ve herhangi bir kullanıcı etkileşimi gerektirmez.
Prodaft’ın yakın tarihli bir raporu, kurban istatistikleri, operasyon, komuta ve kontrol (C&C) sunucusu ve RIG EK’nin teknik yönleriyle ilgili çok sayıda bilgiyi detaylandırıyor.
RIG EK, 2014’ten beri var ve birçok alt etme çabasına rağmen her zaman geri dönüş yapmayı başardı. İstismar kitinin iç işleyişinde pek çok değişiklik yapılmadan, dağıtılan kötü amaçlı yazılımda pek çok değişiklik gördük. Her şey, hangi siber suçluların kötü amaçlı yazılımlarını kurban makinelere yüklemesi için RIG EK yöneticisine ödeme yaptığına bağlıdır. RIG EK ayrıca bazı yeni güvenlik açıkları sunarken, Internet Explorer’ın pazar payı düşmeye devam etti.
Prodaft araştırmacıları, RIG EK RIG’in hırsızlar, Uzaktan Erişim Truva Atları (RAT’ler), kripto para madencileri ve bankacılık kötü amaçlı yazılımları dahil olmak üzere birden çok türde kötü amaçlı yazılım bıraktığını nasıl fark ettiklerini açıklıyor. RIG EK’in istismarları, şüphelenmeyen kurbanlara iki şekilde iletilir: ya kullanıcıların tarayıcılarında RIG açıklarını çalıştırmaları için kandırılan çevrimiçi reklam sayfalarına yönlendirildiği kötü amaçlı reklam yoluyla; veya kurban güvenliği ihlal edilmiş siteleri ziyaret ettiğinde ve yararlanma kitinin JavaScript’i enjekte edildiğinde.
Jérôme’un da belirttiği gibi, Malwarebytes’te son birkaç yıldır aynı kötü amaçlı reklam kampanyalarına dahil olduklarını gördük.
RIG Exploit Kit’e yol açan kötü amaçlı reklamcılığın 2020 analizi
Bazı RIG EK faaliyetlerini “MakeMoney kapısı”nın (güvenlik araştırmacısı tarafından oluşturulan bir ad) arkasındaki siber suçluyla ilişkilendirdik. @nao_sec) makemoneywithus etki alanına göre[.]gettime kapısı aracılığıyla Aralık 2019’da görülen bu tehdit grubunun en eski örneğiyle (188.225.75.54) çalışın[.]xyz (185.220.35.26).
Hâlâ her hafta bazı isabetler görüyoruz, ancak bu istismar kitini artık gerçek bir tehdit haline getirecek hiçbir şey yok. MakeMoney kapısının arkasındaki tehdit aktörünün, 2022’de SocGholish’te gördüğümüzden çok da farklı olmayan sahte bir tarayıcı güncelleme kampanyası kullanarak sosyal mühendislik rotasını denediğini unutmamalıyız.
Çok yakın zamanda kaydedilen kötü amaçlı reklam kampanyası
Azaltma
İstismar kitlerinin pençelerinden uzak durmak için ana tavsiye açıktır. Tamamen güncellenmiş ve yamalı bir tarayıcı kullanın. Ve linklere tıklamadan önce her zaman dikkatli olun.
Jérôme Segura’dan bir uyarı:
“RIG EK’in geride bulaştıracak kimse kalmayana kadar sonuna kadar devam etmesini bekleyebiliriz. Kötü amaçlı reklam kampanyalarının arkasındaki kişi(ler) ısrarcı oldular ve hâlâ eski bir bilgisayarla gölgeli web sitelerini ziyaret etmeye cesaret eden kurbanlara güveniyorlar.”
Aklınıza takılan bir sorunuz mu var veya siber korumamız hakkında daha fazla bilgi edinmek mi istiyorsunuz? Aşağıdan ücretsiz bir işletme deneme sürümü edinin.
BAŞLAMAK