Kimlik Hırsızlığı ve Uzaktan Erişim

   Mart 6, 2025  Posted in ThecyberExpress


Cyble tarafından tanımlanan ve analiz edilen Phantom Goblin adlı yeni bir kötü amaçlı yazılım kampanyası, kurbanları kandırmak ve tarayıcı kimlik bilgileri ve çerezler de dahil olmak üzere hassas verileri çalmak için sosyal mühendislik tekniklerini kullanan bilgi çalma kötü amaçlı yazılımlarını kullanır.

Kampanya, geleneksel güvenlik mekanizmalarından kaçmasına ve gizli, kalıcı uzaktan erişim sağlamasına yardımcı olan PowerShell ve Visual Studio Kodu (VSCODE) gibi güvenilir araç ve hizmetleri kullanmasıyla dikkat çekiyor.

Phantom Goblin ile ilgili temel bilgiler

Hayalet Goblin Hayalet Goblin
Phantom Goblin Enfeksiyon Zinciri (Kaynak: Cyble)

Phantom Goblin öncelikle tarayıcıları ve geliştirici araçlarını hedefler, tespit edilmemiş yükleme ve çalıştırmak için sosyal mühendislik ve kötü niyetli senaryolardan yararlanır. Cyble Research ve Intelligence Labs’a (CRIL) göre, kötü amaçlı yazılım, kullanıcıları gizlenmiş bir LNK dosyasını yürütmeye kandırarak çalışır, bu da hassas verileri çıkarmak ve doldurmak için tasarlanmış bir dizi yükü tetikler.

  1. Sosyal Mühendislik ve İlk Enfeksiyon: Kötü amaçlı yazılım dağıtımı genellikle kötü niyetli bir LNK dosyası içeren aldatıcı bir RAR arşivi ile başlar. Dosya, PDF gibi meşru bir belgeye benzemek için akıllıca adlandırılmış ve kullanıcıların üzerine tıklamasını istemektedir. Yürütüldüğünde, LNK dosyası bir GitHub deposundan ek yükleri sessizce indiren bir PowerShell komut dosyası çalıştırır. Bu komut dosyası ayrıca, Windows kayıt defterine ekleyerek kalıcılık sağlar ve kötü amaçlı yazılımın sistemin yeniden başlatıldığı her seferinde çalışmasını sağlar.
  2. Tarayıcı güvenlik açıklarının sömürülmesi: Kurulduktan sonra Phantom Goblin, dikkatini web tarayıcılarına çevirerek kurabiye ve giriş bilgileri çıkarmaya çalışır. Bunu yapmak için, Chrome’un uygulamaya bağlı şifrelemesini (ABE) atlayan ve kullanıcı uyarılarını tetiklemeden tarayıcı verilerini toplamasını sağlayan bir teknik kullanır. Etkin tarayıcı işlemlerini zorla sonlandırarak, kötü amaçlı yazılım, çerez dosyalarının herhangi bir parazit olmadan erişilebilmesini ve çalınmasını sağlar.
  3. Visual Studio Kodu kullanımı (VSCODE) Tüneller Phantom Goblin’in göze çarpan özelliklerinden biri, enfekte olmuş sistemlere yetkisiz uzaktan erişim sağlama yeteneğidir. Kötü amaçlı yazılım bunu başarır, “VSCODE.EXE” adlı kötü amaçlı bir ikili dağıtarak, tehlikeye atılan makinede bir Visual Studio Kodu tüneli oluşturur. Bu, saldırganların geleneksel güvenlik mekanizmalarını atlarken sistemi uzaktan kontrol etmelerini sağlar.
  4. Telgrafla gizli pesfiltrasyon Phantom Goblin’in veri eksfiltrasyon işlemi, gizli işleminin bir başka temel bileşenidir. Telegram’ın bot API’sini kullanarak, kötü amaçlı yazılımlar, çerezler, kimlik bilgileri ve tarama geçmişi dahil olmak üzere çalıntı bilgileri uzak bir telgraf kanalına gönderebilir. Bu teknik, kötü amaçlı yazılım tehlikeye atılan makinede çalışmaya devam etse bile, çalınan verilerin güvenli ve algılamadan gönderilmesini sağlamaya yardımcı olur.
  5. Kalıcılık ve Kaçma Taktikleri Phantom Goblin’in arkasındaki saldırganlar, kötü amaçlı yazılımların tespit edilmemesini ve enfekte olmuş sistemlerde devam etmesini sağlamak için büyük özen gösterir. Kötü amaçlı yazılım yükleri, geleneksel güvenlik araçları tarafından algılanmayı daha da zorlaştıran “updater.exe” veya “browser.exe” gibi meşru yazılım olarak görünecek şekilde tasarlanmıştır. Ek yükler indirmek için GitHub ve PowerShell gibi güvenilir hizmetlerin kullanılması, antivirüs yazılımının kötü niyetli etkinlikleri tanımlamasını zorlaştırır.

Enfeksiyon zinciri ve kötü niyetli yükler

Hayalet GoblinHayalet Goblin
Kötü niyetli LNK Dosyası (Kaynak: Cyble)

Enfeksiyon işlemi, kötü niyetli LNK dosyasını barındıran bir RAR eki içeren bir e -postanın verilmesi ile başlar. Yürütme üzerine LNK dosyası, ek yükleri indiren ve çalıştıran PowerShell komut dosyasını tetikler. Bu yükler arasında:

  • Updater.exe: Bu bileşen, Chrome, Edge ve Cesur gibi popüler tarayıcılardan kurabiye çalmaya odaklanır. Bunu tarayıcı işlemlerini sonlandırarak ve Uzaktan hata ayıklamanın APP’ye bağlı şifreleme (ABE) gibi güvenlik önlemlerini atlamasını sağlayarak elde eder. Çerezler çıkarıldıktan sonra arşivlenir ve saldırganın telgraf botuna gönderilir.
  • Vscode.exe: Bu ikili, saldırganların enfekte olmuş sisteme uzaktan erişmesine izin veren bir VSCode tüneli oluşturmaktan sorumludur. Kötü amaçlı yazılım, bir örtü korumak için VSCODE’nin meşru güncelleme sürecini manipüle ederek kurbanın makinesine gizli bir arka kapı oluşturabilmesini sağlar.
  • Tarayıcı.exe: Bu yük, tarama geçmişi, giriş kimlik bilgileri ve oturum verileri dahil olmak üzere çeşitli hassas bilgiler toplar. Çok çeşitli tarayıcıları hedefleyerek, kurbanın sisteminden geniş bir kişisel veri alanının toplanmasını sağlar.

Phantom Goblin’e Karşı Savunma

Sistemleri Phantom Goblin ve benzeri tehditlerden korumak için uzmanlar en iyi uygulamaları önerir:

  1. E -posta filtreleme: Şüpheli ekleri, özellikle RAR, ZIP veya LNK formatlarında olanları engellemek için gelişmiş filtreleme tekniklerini uygulayın. Tüm ekleri açmadan önce güncel antivirüs yazılımı ile taramak çok önemlidir.
  2. VSCode Tünellerini Devre Dışı Bırakma: Erişim kontrollerini ve kimlik doğrulama mekanizmalarını uygulayarak yetkisiz kullanıcılar için Visual Studio kodu tünelinin kullanımını kısıtlayın. VSCODE’yi hassas sistemlerde çalıştırma yeteneğinin sınırlandırılması, uzaktan erişimi önlemeye yardımcı olabilir.
  3. Powershell Kısıtlamaları: Kesinlikle gerekmedikçe Sistemlerde PowerShell ve Script Yürütme kullanımını devre dışı bırakın veya kısıtlayın. Dış depolardan komut dosyalarının yürütülmesi gibi şüpheli PowerShell etkinliğinin izlenmesi, kötü niyetli eylemlerin tespitine ve engellenmesine yardımcı olabilir.
  4. Tarayıcı güvenliği: Yetkisiz hata ayıklamayı önlemek ve tarayıcılar içinde depolanan hassas verilere erişimi kısıtlamak için güçlü tarayıcı güvenlik önlemleri uygulayın. Çok faktörlü kimlik doğrulama (MFA) ve oturum zaman aşımları uygulamak, tarayıcı tabanlı kimlik bilgilerini daha da korumaya yardımcı olabilir.
  5. Uç nokta koruması: Kötü amaçlı işlemler, kayıt defteri değişiklikleri ve olağandışı dosya indirmeleri için gerçek zamanlı tehdit algılama içeren uç nokta koruma çözümlerini dağıtın.

Çözüm

Phantom Goblin, siber suçluların güvenlik önlemlerini atlamak ve hassas verileri çalmak için sosyal mühendislik ve güvenilir araçları nasıl kullandığını vurgular. Tarayıcılar ve geliştirici araçlarındaki güvenlik açıklarından yararlanarak ve Visual Studio kodu tünelleri aracılığıyla uzaktan erişimden yararlanarak, saldırganlar tespit edilmemiş ve kalıcı olarak kalır. Cyble’ın Cyble Vision ve Cyble Hawk dahil olmak üzere en yeni ürünleri ve çözümleri, kuruluşların siber tehditleri tespit etmesine, önlemelerine ve yanıtlamalarına yardımcı olmak için Phantom Goblin gibi saldırılara karşı daha iyi savunma sağlayan AI odaklı tehdit istihbaratı ve proaktif güvenlik önlemleri sunar.


Tarayıcınız video etiketini desteklemez.



Source link