GitLab, bilgisayar korsanları tarafından gizli kaynak koduna yetkisiz erişim sağlamak, fikri mülkiyeti çalmak veya GitLab’da barındırılan projelere kötü amaçlı kod eklemek için kullanılan, önde gelen bir web tabanlı Git deposu yöneticisidir.
Gitlab’ın yazılım açıkları veya dağıtımlarındaki yanlış yapılandırmalar, tüm sistemin ihlal edilebileceği ve buna bağlı diğer ağların veya sistemlerin hedef alınabileceği bir saldırının başlangıç noktası olarak hizmet edebilir.
JSOutProx’un yeni bir çeşidi, JavaScript ve .NET bileşenlerini birleştiren gizli bir saldırı çerçevesi olarak ortaya çıktı.
Tehlike altındaki sistemlerde kötü amaçlı JavaScript kodunu teşvik etmek için .NET serileştirmesini kullanan APAC ve MENA bölgelerindeki finansal kurumları hedeflemektedir.
SOLAR SPIDER’ın 2019’dan bu yana kimlik avı kampanyalarıyla ilişkilendirdiği bu modüler kötü amaçlı yazılım, aynı zamanda ilk izinsiz girişten sonra kötü amaçlı eylemlere yönelik eklentileri de içerebilir.
JsOutProx Kötü Amaçlı Yazılım GitLab’ı Kötüye Kullanıyor
Suudi Arabistanlı bir sistem entegratörünün büyük bir bölgesel bankanın müşterilerini hedef alan bir olayı bildirdiği 8 Şubat 2024 civarında faaliyette bir artış tespit edildi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Kampanyada “mike.will@my” kimliğine bürünüldü[.]com” adı altında sahte SWIFT/Moneygram ödeme bildirimleri kullanarak kötü amaçlı yükler dağıttı.
Bunun yanı sıra Resecurity, DFIR etkileşimleri aracılığıyla birden fazla kurbana yardımcı oldu ve kuruluşlar ve bireyler genelindeki bankacılık müşterilerini hedef alan bu kimliğe bürünme saldırılarında kullanılan kötü amaçlı yazılımları kurtardı.
İlk olarak Kasım 2023’te bildirilen Solar Spider, GitHub depolarında veri yüklerini barındırıyordu. Ancak JavaScript kodu için bunun yerine, kötü amaçlı yazılımlarının benzemesini sağlamak için PDF dosyalarını kullanıyorlar.
Resecurity, 27 Mart 2024’te bu gruptan GitLab depolarını kullanan, çok aşamalı bir enfeksiyon zinciri olarak tasarlanmış yeni bir örnek keşfettiğinde grup, GitHub tercihinden GitLab depolarına geçti.
25 Mart 2024’te, bu aktöre ait birkaç GitLab hesabı, “docs909” (2 Nisan’da kuruldu) ve “dox05” (26 Mart’ta kuruldu) gibi depolarda kötü amaçlı yükleri barındıracak şekilde kaydedildi.
Bu dönüşümlü veri deposu taktiği muhtemelen çeşitli kurbanlar için farklı yüklerin korunmasına yardımcı olur.
Kötü amaçlı yazılımı başarıyla teslim ettikten sonra aktör, depoyu siler ve başka bir depoyu açar.
Resecurity’nin 2 Nisan 2024’te yüklenen en son yükleri güvence altına alması, gelişmekte olan GitLab kampanyasına ışık tutması dikkat çekicidir.
Anlaşılması kolay olmayan gizli JavaScript arka kapılarına sahip olan ve komut yürütme kapasitesi, dosya işlemleri yeteneği, kalıcılık mekanizmaları, ekran yakalama işlevleri ve sistem kontrolüne sahip modüller içeren JSOutProx RAT kötü amaçlı yazılımlarını tespit etmek, önlemek ve azaltmak.
İstisnai bir nokta, C2’lerle iletişim kurarken Çerez başlığını nasıl kullandığıdır.
Resecurity, gizliliği kaldırılmış implantları arşivlenmiş yüklerden indirdi ve analistleri, daha fazla analiz ve savunma önlemleri için kodu çözülmüş bazı JavaScript kodları buldu.
İlk aşamadaki implant, güncellemeye, proxy/uyku zamanlarını ayarlamaya, işlemleri yürütmeye, JavaScript’i değerlendirmeye ve çıkışa izin veren işlevlere sahiptir.
Kötü amaçlı otomasyon görevleri için kullanılan bir Windows Komut Dosyası Ana Bilgisayarı nesnesi olan ActiveXObject ile etkileşime girer. İkinci aşamada, kötü amaçlı yazılımın işlev aralığını genişleten diğer eklentiler eklenir.
Dahası, sürekli gelişen kötü amaçlı yazılım, organize bir geliştirme çabası sergileyerek, özelleştirilmiş tuzaklarla hükümet ve finans sektörlerindeki yüksek profilli kurbanlara saldırıyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide