Tehdit aktörleri, siber saldırılarında kalıcılık oluşturmak için Meşru Uzaktan İzleme ve Yönetim Aracı (RMM) Screenconnect’ten yararlanıyorlar.
Bu eğilim, sistemlere yetkisiz erişim elde etmek için güvenilir yazılımdan yararlanan bilgisayar korsanlarının gelişen taktiklerini göstermektedir.
Şimdi ConnectWise Control olarak bilinen ScreAnconnect, BT ekiplerinin uzak cihazları yönetmesine ve izlemesine izin veren yaygın olarak kullanılan bir RMM aracıdır.
Bununla birlikte, meşru kullanımı tehdit aktörleri tarafından yeniden başlatmalar ve diğer kesintilerde uzlaşmış sistemlere erişimi sürdürmek için kaçırılmıştır.
Sömürü, kurbanları Screenconnect temsilcisinin değiştirilmiş sürümlerini kurmak için kandırmak için sosyal mühendislik taktiklerini kullanmayı içerir.
Silentpush uzmanları, bu değiştirilmiş ajanların genellikle “son zamanlarda_s_s_a_estatementsforum_viewr66985110477892_pdf gibi aldatıcı dosya adlarına sahip olduğunu belirtti.[.]Müşteri[.]exe.”
Bu dosya adı, sırasıyla Sosyal Güvenlik İdaresi’ne ve finansal belgelere atıfta bulunabilecek “S_S_A” ve “Estatements” gibi anahtar kelimeler içerir ve kullanıcıları dosyanın finansal tabloları görüntüleme ile ilgili olduğunu düşünmeye yönlendirmeyi amaçlamaktadır.
CVE-2024-1709 ve kötü niyetli altyapı
Tehdit aktörleri, sistemleri daha da uzlaştırmak için CVE-2024-1709 gibi güvenlik açıklarından yararlanmaktadır.
“FilessauploaderChecker gibi şüpheli alanların keşfi[.]com, ”araştırmacıların bu saldırılarda kullanılan kötü niyetli altyapıyı ortaya çıkarmasına yol açtı.
Bu alanlar genellikle, yüklendikten sonra saldırganların mağdur sistemlerine yetkisiz erişim kazanmasına izin veren değiştirilmiş screAnconct yükleyicilerini barındırır.
Kötü niyetli faaliyetler genellikle zayıf kolluk kuvvetleri olan yargı bölgelerinde faaliyet gösteren ve siber suçluların kimlik avı sitelerini, kötü amaçlı yazılım dağıtım ağlarını ve komuta ve kontrol (C2) altyapısını kesintisiz olarak barındırmasını sağlayan kurşun geçirmez barındırma sağlayıcıları tarafından kolaylaştırılır.
Bu sağlayıcıların belirlenmesi ve izlenmesi, siber güvenlik profesyonellerinin tehditleri daha etkili bir şekilde tespit etmesine ve azaltmasına yardımcı olabilir.
Bu tehditlerle mücadele etmek için kuruluşlar, gelecekteki saldırıların (IOFA’lar) göstergelerini sağlayan gelişmiş tehdit istihbarat araçlarından yararlanabilir.
Bu araçlar, kötü niyetli aktivite modellerini analiz ederek gelecekteki saldırıları tespit etmeye ve önlemeye yardımcı olur. Sağlam güvenlik çözümleri kullanmak ve ortaya çıkan tehditler hakkında bilgi sahibi kalmak, bu tür istismarlara karşı korunmada çok önemli adımlardır.
Etkili azaltma stratejileri uygulayarak, kuruluşlar sistemlerini ve verilerini yetkisiz erişimden daha iyi koruyabilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free