Klaviyo, hubspot ve saf depolama hizmetlerini hedefleyen dağınık örümcek kötü amaçlı yazılım


Klaviyo, hubspot ve saf depolama hizmetlerini hedefleyen dağınık örümcek kötü amaçlı yazılım

Siber güvenlik uzmanları, 2025 yılında sofistike saldırı yöntemlerini geliştirmeye devam eden kötü şöhretli hacker kolektif dağınık örümcek tarafından artan bir kampanya belirlediler.

En az 2022’den beri aktif olan grup, odağı Klaviyo, Hubspot ve saf depolama dahil olmak üzere iş hizmetlerini hedeflemek için bu platformlara güvenen kuruluşlara önemli tehditler oluşturdu.

Gelişmiş sosyal mühendislik tekniklerini kullanan dağınık örümcek, kullanıcı adları, giriş kimlik bilgileri ve çok faktörlü kimlik doğrulama jetonları elde etmek için güvenlik önlemlerini atlatmada dikkate değer bir kalıcılık göstermiştir.

Google Haberleri

Tehdit oyuncusu, son aylarda hedef listesini önemli ölçüde genişletti ve Credit Karma, Forbes, Instacart, Louis Vuitton, Morningstar, Nike, Twitter/X, Tinder, T-Mobile ve diğerleri de dahil olmak üzere büyük markalara yönelik teyit edilen saldırılar.

Taktikleri, özellikle bu şirketler tarafından kullanılan OKTA kimlik doğrulama sayfalarına odaklanan meşru giriş portallarını taklit eden ikna edici kimlik avı alanları oluşturmayı içerir.

Bu saldırıları özellikle ilgili kılan şey, grubun alan adlarını hızla kaydetme ve kimlik avı altyapısını dağıtma yeteneğidir ve genellikle kötü niyetli içeriği 5 ila 30 dakika arasında sadece kısa süreler boyunca korumaktır.

Sessiz Push analistleri, 2023’ten beri dağınık örümcek tarafından kullanılan beş farklı kimlik avı kitini izlediler ve dağıtım stratejilerinde önemli gelişmeler kaydetti.

Araştırmacılar, “2025’in başlarında, tehdit oyuncusunun yeni kimlik avı kiti varyantlarına geçişini gözlemlerken, aynı zamanda eski altyapıdan kullanımdan kaldırıldığını gözlemledik” dedi.

En son keşifleri, “KLV1.it.[.]com ”Geleneksel Marka Koruma Regex aramalarını daha az etkili hale getiren Klaviyo’nun özel bağlantı kısaltıcı hizmetini hedeflemek.

Dağınık örümcek sunucusu bir alt alanda kaydedildi[.]com (kaynak – sessiz itme)

Kimlik avı operasyonlarının ötesinde, Scoled Spider, sofistike kötü amaçlı yazılım dağıtımını saldırı zincirlerine dahil etti.

“Telnyx-cdn gibi alanları analiz ederken[.]com, ”araştırmacılar, tehlikeye atılan sistemlere kalıcı erişim sağlayan uzaktan erişim Truva atı olan Spectre Rat’ın güncellenmiş bir versiyonunu keşfettiler. Kötü amaçlı yazılım, daha karmaşık gizleme teknikleri ve genişletilmiş komut özellikleri gösteren sürümler ile sürekli gelişime uğrar.

Spectre sıçanının teknik analizi, kodlanmış parametrelerle HTTP tabanlı iletişim kullanarak sofistike bir komut ve kontrol altyapısını ortaya çıkarır.

Kötü amaçlı yazılım, işlevselliğini gizlemek için XOR tabanlı bir String kodlama algoritması kullanır ve analiz için özel kod çözme araçları gerektirir.

Kötü amaçlı yazılımın başlatma dizilerini incelerken, araştırmacılar uzlaşılmış sistemi uzun vadeli erişim ve veri eksfiltrasyonu için hazırlayan birden fazla kurulum işlevi belirlediler.

# Spectre RAT String Decoder Sample
def decode_spectre_string(encoded_bytes):
    result = bytearray()
    for i in range(len(encoded_bytes)):
        decoded_byte = encoded_bytes[i] & 0x0A  # AND with 0x0A
        decoded_byte ^= encoded_bytes[(i + 1) % len(encoded_bytes)]  # XOR with next byte
        result. Append(decoded_byte)
    return result

Kötü amaçlı yazılımların iletişim protokolü, enfekte olmuş sistemleri kontrol etmek için belirli URI parametreleri kullanır ve dosya indirmelerinden ve işlem feshinden sistem keşiflerine kadar değişir.

Her komut “|” kullanılarak tokenize edilir. karakter ve karmaşık bir işleyici sistemi aracılığıyla işlenir. Spectre sıçan tarafından kullanılan komut yapısı, kaldırma (komut 5) veya ek C2 sunucuları (komut 13) ekleme gibi çeşitli işlemler için spesifik parametreler dahil.

Klaviyo, hubspot veya saf depolama hizmetlerini kullanan kuruluşlar, güvenlik protokollerini derhal gözden geçirmeli ve potansiyel uzlaşma göstergeleri için kapsamlı izleme uygulamalıdır.

Güvenlik ekipleri, şüpheli kimlik doğrulama girişimleri, kurumsal ağlara bağlanan bilinmeyen cihazlar ve dağınık Spider’ın giderek daha sofistike saldırı yöntemleri aracılığıyla başarılı kimlik bilgisi hırsızlığını gösterebilecek olağandışı hesap etkinlik modelleri için özellikle uyanık olmalıdır.

Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.



Source link