Tehdit aktörleri, kötü amaçlı yazılımlarını dağıtmak için iş başvurusunda bulunan kişi kılığına giren işe alım görevlilerini hedef alıyor. Bu yöntem benzersiz olmasa da tekniğin ve saldırı vektörlerinin önceki yöntemlere göre değiştiği kaydedildi.
TA4557, öncelikle kurbanları cezbetmek için gelişmiş sosyal mühendislik kullanan, oldukça yetenekli, finansal motivasyona sahip bir tehdit aktörüdür. Bu tehdit aktörünün FIN6 siber suç grubuna atfedildiği biliniyor. Ayrıca TA4557, iş başvurusunda bulunanları cezbetmek için 2022’de benzer bir kampanya yürüttü.
Kötü Amaçlı Yazılım Hedefleyen İşverenler
Tehdit aktörleri, ilk erişim vektörünün bir parçası olarak kötü amaçlı URL’ler veya ekler içeren iş başvuruları gönderir ve bunlar, iş portalları aracılığıyla işe alım görevlilerine iletilir. Diğer bir yöntem ise, işe başvuran kişi gibi davranarak işe alım görevlilerine doğrudan bir e-posta göndermekti.
Kurbanlar, tehdit aktörü tarafından belirtilen etki alanını veya URL’yi ziyaret ettiğinde, ziyaretçinin ZIP arşiv dosyasını içeren indirme sayfasına yönlendirilmesine izin verilip verilmeyeceğini belirlemek için bir filtreleme kontrolü gerçekleştirilir.
Her iki yöntemde de tehdit aktörü, mağdurları LNK kısayol dosyasını içeren arşiv dosyasını indirmeleri için kötü amaçlı web sitesine çekiyor. Bu dosya yürütüldüğünde, kurban sistemlerine ek yükler indirmek için Arazide Yaşamak türü bir saldırı gerçekleştirir.
More_Eggs Arka Kapı
LNK, %APPDATA%\Microsoft klasöründeki kötü amaçlı bir DLL dosyasını indirmek ve yürütmek için ie4uinit.exe dosyasını ve ie4uinit.inf dosyasını kullanır. Komut dosyası, DLL yükünü yürütmenin bir parçası olarak Windows Yönetim Araçları (WMI) ve ActiveX Nesne Çalıştırma yöntemini kullanır.
Bu yapıldıktan sonra DLL, bir sonraki komutta indirilecek olan More_Eggs arka kapısının şifresini çözmek için RC4 anahtarını alır. More_Eggs arka kapısı indirilip yürütüldüğünde, tehdit aktörü kurbanın sistemlerine erişebilir.
Ayrıca bu saldırı vektörü ve tekniği hakkında, tehdit aktörü, saldırı yöntemi, e-posta analizi ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
Gösterge | Tanım |
wlynch\.com | İhtisas |
9d9b38dffe43b038ce41f0c48def56e92dba3a693e3b572dbd13d5fbc9abc1e4 | SHA256 |
6ea619f5c33c6852d6ed11c52b52589b16ed222046d7f847ea09812c4d51916d | SHA256 |
annetterawlings\.com | İhtisas |
010b72def59f45662150e08bb80227fe8df07681dcf1a8d6de8b068ee11e0076 | SHA256 |