Gelişmekte olan ve karmaşık olmayan bir tehdit aktörü çeşitli kötü amaçlı yazılım türlerinin yayılması muhasebe raporuyla, başarısı için hazır kötü amaçlı ve meşru yazılımlara dayanan bir kimlik avı kampanyasına yem oluyor.
Dijital risk yönetimi firması Bi.Zone'dan araştırmacılara göre, Fluffy Wolf olarak takip edilen bir aktörün aktif kimlik avı kampanyası, büyük ölçüde vasıfsız tehdit aktörlerinin bile başarılı siber saldırılar gerçekleştirmek için hizmet olarak kötü amaçlı yazılım (MaaS) modellerinden nasıl yararlanabileceğini gösteriyor. Kampanya şu anda Rus kuruluşlarını hedef alıyor ancak diğer bölgelere de yayılabilir.
Hem şirketin web sitesinde hem de şirketin web sitesinde yayınlanan ayrı blog gönderilerine göre, “Teknik beceriler açısından vasat olsa da, bu tehdit aktörleri hedeflerine yalnızca iki araç seti kullanarak ulaşıyor: meşru uzaktan erişim hizmetleri ve ucuz kötü amaçlı yazılımlar.” Orta blog hesabı.
2022'den bu yana aktif olan Fluffy Wolf, hedef altyapılara ilk erişim sağlamak için bir inşaat şirketi kimliğine bürünerek mutabakat raporları veya farklı muhasebe rakamlarının doğru olduğundan emin olmayı amaçlayan raporlar gibi görünen ekleri olan kimlik avı e-postaları gönderiyor. Parola korumalı dosyalar çeşitli kötü amaçlı yükleri gizler; Bunlardan ilki, popüler olanın kopyası olan Meta Stealer'dır. RedLine hırsızı.
Fluffy Wolf ayrıca Remote Utilities, WarZone RAT ve XMRig miner gibi yasal yazılımlar da dahil olmak üzere çeşitli başka kötü amaçlı yazılımların da dağıtımını yapıyor.
Araştırmacılar, grubun şu ana kadar Rusya'daki şirketlere en az 140 saldırı gerçekleştirdiğini ve kimlik avının kurumsal ortamlara ilk girişin en yaygın biçimlerinden biri olmaya devam ettiğini buldu.
“E-dolandırıcılık Bi.Zone'a göre, geçen yıl Rus kuruluşlarına yönelik tüm hedefli saldırıların %68'inde tercih edilen silahtı.” şirkete göre büyük ölçekte kötü niyetli bir kampanya yürütmek.
Meta Hırsızı Kötü Amaçlı Yazılım
Kurumsal bir kullanıcı, “İmzalanacak raporlar” başlıklı e-postalarda yer alan belge cazibesine tıkladığında, dosya çeşitli işlemleri yürütür. Bunlardan biri, saldırgan tarafından kontrol edilen bir komuta ve kontrol (C2) sunucusundan Meta Stealer'ın bir kopyasını teslim etmek için Remote Utilities yükleyicisinin başlatılmasıdır.
Bu iki kötü amaçlı yazılımın kullanılması, her ikisinin de tehdit aktörlerinin kullanımına açık olması açısından kampanyanın anahtarıdır. Remote Utilities meşru bir uzaktan erişim aracıdır ve Meta Stealer yer altı forumlarından ve Telegram kanallarından ayda 150 $ gibi düşük bir ücret karşılığında satın alınabilir.
Remote Utilities, bir tehdit aktörünün, diğer etkinliklerin yanı sıra kullanıcının eylemlerini takip etmek, dosyaları iletmek, komutları çalıştırmak ve görev zamanlayıcıyla etkileşimde bulunmak için güvenliği ihlal edilmiş bir cihaz üzerinde tam kontrol sahibi olmasını sağlar. “Tehdit aktörleri meşru denemeler yapmaya devam ediyor uzaktan erişim yazılımı Bi.Zone'a göre cephaneliklerini yeni araçlarla geliştirmek için.
Bu arada Meta Stealer, Chromium ve Firefox benzeri tarayıcılardan gelen kullanıcı kimlik bilgileri ve çerezlerin yanı sıra ücretsiz FileZilla FTP sunucu programından, kripto para birimi cüzdanlarından ve VPN istemcilerinden gelen veriler de dahil olmak üzere virüs bulaşmış cihazlardan hassas verileri kaldırır. Daha sonra verileri saldırganın C2'sine geri gönderir.
Fluffy Wolf'a Karşı Siber Savunmalar
Fluffy Wolf kampanyası, tehdit aktörlerinin MaaS ve diğer hazır yazılım araçlarını kullanarak sistemlere saldırmasının ne kadar kolay olduğunu gösteriyor; dolayısıyla Bi.Zone'a göre kuruluşların kendilerini korumak için çeşitli güvenlik çözümleri kullanması önemli.
Gibi e-dolandırıcılık Saldırganların birincil giriş noktası olmaya devam etmesi nedeniyle kuruluşların, kurumsal kullanıcı kötü amaçlı bir e-posta bağlantısını veya dosyasını tıklasa bile tehdit aktörünün C2 sunucusuna bağlantıyı önleyecek yönetilen e-posta güvenlik hizmetlerini kullanması gerekir.
Bir tür istihdam tehdit istihbaratı Sürekli gelişen kötü amaçlı kampanyalara ilişkin farkındalığı sürekli olarak sürdürmek için bir kuruluş içindeki platformun kullanılması, bir kuruluşun riski azaltmasına da yardımcı olabilir.
Bi.Zone'a göre “Tehdit aktörlerinin önünde kalabilmek için farklı altyapılara yönelik saldırılarda kullanılan yöntemlerden haberdar olmanız ve tehdit ortamını anlamanız gerekiyor.”
Bu amaçla Bi.Zone, Medium blog gönderisine, risk göstergelerinin (IoC'ler) bir listesini ve Fluffy Wolf kimlik avı vektörü için bir MITRE ATT&CK çerçevesini ekledi.