Kaçamak Jupyter Bilgi Hırsızı Kampanyası Tehlikeli Bir Çeşit Sergiliyor


Güvenlik araştırmacıları, en az 2020'den beri Chrome, Edge ve Firefox tarayıcılarının kullanıcılarını hedef alan bir bilgi hırsızı olan Jupyter'in yeni ve gelişmiş bir versiyonunu içeren saldırılarda yakın zamanda bir artış tespit etti.

Sarı Kakadu, Solarmarker ve Polazert olarak da adlandırılan kötü amaçlı yazılım, makinelere arka kapı açabilir ve bilgisayar adı, kullanıcının yönetici ayrıcalıkları, çerezler, Web verileri, tarayıcı şifre yöneticisi bilgileri ve diğer hassas veriler dahil olmak üzere çeşitli kimlik bilgilerini toplayabilir. Kripto cüzdanlar ve uzaktan erişim uygulamaları için oturum açma bilgileri gibi kurban sistemleri.

Kalıcı Veri Çalma Siber Tehdidi

VMware'in Carbon Black yönetimindeki araştırmacılar yakın zamanda algılama ve yanıt (MDR) hizmetini yönetti yeni versiyonu gözlemledim PowerShell komut değişikliklerinden ve yasal görünümlü, dijital olarak imzalanmış yüklerden yararlanan kötü amaçlı yazılımların Ekim sonundan bu yana giderek artan sayıda sisteme bulaştığı görüldü.

VMware bu haftaki güvenlik blogunda, “Son Jupyter enfeksiyonları, kötü amaçlı yazılımlarını imzalamak için birden fazla sertifika kullanıyor ve bu da, kötü amaçlı dosyaya güven verilmesine ve kurbanın makinesine ilk erişimin sağlanmasına olanak tanıyor.” dedi. “Bu değişiklikler, [Jupyter’s] Kaçınma yetenekleri göze çarpmadan kalmasına izin veriyor.”

Morphisec Ve Böğürtlen Daha önce Jupyter'ı takip eden diğer iki tedarikçi, kötü amaçlı yazılımın tam teşekküllü bir arka kapı olarak çalışabildiğini tespit etti. Yeteneklerini, komuta ve kontrol (C2) iletişimleri için destek, diğer kötü amaçlı yazılımlar için bir damlatıcı ve yükleyici görevi görme, tespitten kaçınmak için kabuk kodunu boşaltma ve PowerShell komut dosyalarını ve komutlarını yürütme gibi özellikler olarak tanımladılar.

BlackBerry, Jupyter'in OpenVPN, Uzak Masaüstü Protokolü ve diğer uzaktan erişim uygulamalarına erişimin yanı sıra Ethereum Wallet, MyMonero Wallet ve Atomic Wallet gibi kripto cüzdanlarını da hedef aldığını gözlemlediğini bildirdi.

Kötü amaçlı yazılımın operatörleri, kötü amaçlı yazılımı dağıtmak için, arama motorunun kötü amaçlı web sitelerine yönlendirmeleri, rastgele indirmeler, kimlik avı ve SEO zehirlenmesi veya kötü amaçlı yazılım dağıtmak için arama motoru sonuçlarını kötü niyetli olarak manipüle etme dahil olmak üzere çeşitli teknikler kullandı.

Jupyter: Kötü Amaçlı Yazılım Tespitinden Kurtulmak

En son saldırılarda, Jupyter'ın arkasındaki tehdit aktörü, kötü amaçlı yazılımı dijital olarak imzalamak ve böylece kötü amaçlı yazılım tespit araçlarına meşru görünmesini sağlamak için geçerli sertifikalar kullanıyor. Dosyalar, kullanıcıları onları açmaya kandırmak için tasarlanmış ” gibi başlıklara sahip adlara sahiptir.Bir-işveren-kılavuzu-grup-sağlığı-devamı.exe” Ve “Bir-Word-Belgesi-Permanent.exe-Nasıl-Yapılır-Düzenlemeler“.

VMware araştırmacıları, kötü amaçlı yazılımın, kurbanın sistemine ulaştığı anda bilgi hırsızı yükünün şifresini çözmek ve onu belleğe yüklemek için C2 sunucusuna birden fazla ağ bağlantısı yaptığını gözlemledi.

VMware'in raporuna göre “Chrome, Edge ve Firefox tarayıcılarını hedefleyen Jupyter enfeksiyonları, saldırı zincirindeki ilk saldırı vektörü olan kötü amaçlı dosya indirmelerini teşvik etmek için SEO zehirlenmesini ve arama motoru yönlendirmelerini kullanıyor.” “Kötü amaçlı yazılım, hassas verileri sızdırmak için kullanılan kimlik bilgisi toplama ve şifreli C2 iletişim yeteneklerini gösterdi.”

Carbon Black'in tehdit analisti lideri Abe Schneider, Dark Reading'e yaptığı açıklamada, Jupyter'in birinci ve ikinci aşama yüklerinin, ilk kez Eylül 2022'de görülen önceki sürümlerden önemli ölçüde farklı olduğunu söylüyor. “Bilgi hırsızlığında yapılan yeni iyileştirmeler arasında, kurbanın cihazında görülen ilk yük olan InnoSetup adlı bir yükleyicinin kullanılması yer alıyor” diyor.

Schneider, Innosetup'ı tehdit aktörlerinin kötü amaçlı dosyaları yüklemek için sıklıkla kullandığı ücretsiz bir yazılım aracı olarak tanımlıyor. Örnek olarak, saldırganların Innosetup'ı kullanarak Autodesk'i kurban cihazlarına uzak masaüstü uygulaması olarak sunduğu son örneklere işaret ediyor.

Schneider, Jupyter ile Innosetup yükleyicisinin ikinci şifrelenmiş veriyi içerdiğini söylüyor: “İkinci verinin şifresi PowerShell aracılığıyla çözüldüğünde, belleğe bir arka kapı yüklenir. Bu arka kapı daha sonra PowerShell'i yürütmek ve tarayıcılardan kimlik bilgilerini çalmak, kripto para cüzdanlarını çalmak veya Ek yükleri belleğe yükleyin.”

Bilgi Hırsızlarında Sorunlu Bir Artış

Satıcıya göre Jupyter, VMware'in son yıllarda istemci ağlarında tespit ettiği en sık görülen 10 enfeksiyon arasında yer alıyor. Bu, başkalarının bir konu hakkında bildirdikleriyle tutarlıdır. keskin ve endişe verici yükseliş COVID-19 salgını başladıktan sonra birçok kuruluşta büyük ölçekli uzaktan çalışmaya geçişin ardından bilgi hırsızlarının kullanımında artış görüldü.

Kızıl KanaryaÖrneğin, RedLine, Racoon ve Vidar gibi bilgi hırsızlarının 2022'de ilk 10 listesine birden çok kez girdiğini bildirdi. Kötü amaçlı yazılımlar çoğunlukla, kötü amaçlı reklamlar veya SEO manipülasyonu yoluyla meşru yazılım için sahte veya zehirlenmiş yükleyici dosyaları olarak geldi. Şirket, saldırganların kötü amaçlı yazılımı çoğunlukla uzaktaki çalışanlardan kurumsal ağlara ve sistemlere hızlı, kalıcı ve ayrıcalıklı erişim sağlayan kimlik bilgilerini toplamaya çalışmak için kullandığını tespit etti.

Red Canary araştırmacıları, “Hiçbir sektör, kötü amaçlı yazılımlara karşı bağışık değildir ve bu tür kötü amaçlı yazılımların yayılması genellikle reklam ve SEO manipülasyonu yoluyla fırsatçıdır” dedi.

Uptycs bildirdi benzer ve rahatsız edici bir artış bu yılın başlarında bilgi hırsızı dağıtımında. Şirketin izlediği veriler, bir saldırganın bilgi hırsızlığı yaptığı olayların sayısının 2023'ün ilk çeyreğinde geçen yılın aynı dönemine kıyasla iki kattan fazla arttığını gösterdi. Güvenlik sağlayıcısı, kullanıcı adlarını ve şifreleri, profiller ve otomatik doldurma bilgileri gibi tarayıcı bilgilerini, kredi kartı bilgilerini, kripto cüzdan bilgilerini ve sistem bilgilerini çalmak için kötü amaçlı yazılım kullanan tehdit aktörleri buldu. Uptycs'e göre Rhadamanthys gibi daha yeni bilgi hırsızları, özellikle çok faktörlü kimlik doğrulama uygulamalarından günlükleri çalabiliyor. Çalınan verileri içeren kayıtlar daha sonra yoğun talep gören suç forumlarında satılıyor.

“Çalınan verilerin dışarı sızması kuruluşlar üzerinde tehlikeli etki Uptycs araştırmacıları, “Diğer tehdit aktörleri için ilk erişim noktası olarak karanlık ağda kolayca satılabileceğinden, ya da bireylere satılabilir” uyarısında bulundu.





Source link