İşe alım yapacaklar Dikkat! Bilgisayar Korsanları İş Başvurusunda Bulunan Kötü Amaçlı Yazılım Sunuyor


İşe alım yapacaklar Dikkat!  Bilgisayar Korsanları İş Başvurusunda Bulunan Kişi Gibi Görünen Kötü Amaçlı Yazılım Sunuyor

Tehdit aktörleri, kötü amaçlı yazılımlarını dağıtmak için iş başvurusunda bulunan kişi kılığına giren işe alım görevlilerini hedef alıyor. Bu yöntem benzersiz olmasa da tekniğin ve saldırı vektörlerinin önceki yöntemlere göre değiştiği kaydedildi.

TA4557, öncelikle kurbanları cezbetmek için gelişmiş sosyal mühendislik kullanan, oldukça yetenekli, finansal motivasyona sahip bir tehdit aktörüdür. Bu tehdit aktörünün FIN6 siber suç grubuna atfedildiği biliniyor. Ayrıca TA4557, iş başvurusunda bulunanları cezbetmek için 2022’de benzer bir kampanya yürüttü.

Kötü Amaçlı Yazılım Hedefleyen İşverenler

Tehdit aktörleri, ilk erişim vektörünün bir parçası olarak kötü amaçlı URL’ler veya ekler içeren iş başvuruları gönderir ve bunlar, iş portalları aracılığıyla işe alım görevlilerine iletilir. Diğer bir yöntem ise, işe başvuran kişi gibi davranarak işe alım görevlilerine doğrudan bir e-posta göndermekti.

İş başvurusunda bulunan kişi gibi davranan tehdit aktörü
İş başvurusunda bulunan kişi gibi davranan tehdit aktörü (Kaynak: Proofpoint)

Kurbanlar, tehdit aktörü tarafından belirtilen etki alanını veya URL’yi ziyaret ettiğinde, ziyaretçinin ZIP arşiv dosyasını içeren indirme sayfasına yönlendirilmesine izin verilip verilmeyeceğini belirlemek için bir filtreleme kontrolü gerçekleştirilir.

Her iki yöntemde de tehdit aktörü, mağdurları LNK kısayol dosyasını içeren arşiv dosyasını indirmeleri için kötü amaçlı web sitesine çekiyor. Bu dosya yürütüldüğünde, kurban sistemlerine ek yükler indirmek için Arazide Yaşamak türü bir saldırı gerçekleştirir.

More_Eggs Arka Kapı

LNK, %APPDATA%\Microsoft klasöründeki kötü amaçlı bir DLL dosyasını indirmek ve yürütmek için ie4uinit.exe dosyasını ve ie4uinit.inf dosyasını kullanır. Komut dosyası, DLL yükünü yürütmenin bir parçası olarak Windows Yönetim Araçları (WMI) ve ActiveX Nesne Çalıştırma yöntemini kullanır.

Bu yapıldıktan sonra DLL, bir sonraki komutta indirilecek olan More_Eggs arka kapısının şifresini çözmek için RC4 anahtarını alır. More_Eggs arka kapısı indirilip yürütüldüğünde, tehdit aktörü kurbanın sistemlerine erişebilir.

Ayrıca bu saldırı vektörü ve tekniği hakkında, tehdit aktörü, saldırı yöntemi, e-posta analizi ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergeleri

Gösterge Tanım
wlynch\.com İhtisas
9d9b38dffe43b038ce41f0c48def56e92dba3a693e3b572dbd13d5fbc9abc1e4 SHA256
6ea619f5c33c6852d6ed11c52b52589b16ed222046d7f847ea09812c4d51916d SHA256
annetterawlings\.com İhtisas
010b72def59f45662150e08bb80227fe8df07681dcf1a8d6de8b068ee11e0076 SHA256



Source link