Siber güvenlik olayları, Microsoft’un Bing arama motoru üzerinde kötüverizasyon yoluyla dağıtılan macun SSH müşterisinin truva atık versiyonlarını içeren son uzlaşmalarda gösterildiği gibi, ayrıcalıklı kullanıcılar da dahil olmak üzere insan güvenlik açıklarından giderek daha fazla yararlanmaktadır.
Level Blue’nun Yönetilen Tespit ve Yanıt (MDR) Güvenlik Operasyon Merkezi (SOC), saldırganların kötü niyetli macun yürütülebilir dosyalarını meşru indirmeler olarak maskelediği ve Active Directory ortamlarında başlangıç erişimine, kalıcılığa ve gelişmiş saldırılara yol açtığı birden fazla vakayı araştırdı.
En azından Mayıs 2024’ten bu yana aktif olan kampanya, ilk güven kontrollerini atlayan “New Vision Marketing LLC” te gibi hileli sertifikalarla imzalanmış yükler sunmak için resmi macun kaynaklarını taklit eden sponsor reklamlardan yararlanıyor.
Sentinelone uç noktaları, “Putty.exe” nin şüpheli indirmeleri, virustotal yoluyla onaylanan kötü niyetli IP’lere anormal ağ trafiğini ve planlanan görevler yoluyla Kerberoasting girişimleri ve kalıcılık gibi davranışsal anomaliler de dahil olmak üzere yüksek riskli göstergeler tespit etti.
Süpürge çubuğu/istiridye varyantları olarak tanımlanan kötü amaçlı yazılımlar, Rundll32.exe yoluyla %AppData %ve %sıcaklık %ve “Green.dll” ve “Green.dll” gibi DLL’leri, anayma ve ayrıcalık yükselişi için uzaktan komuta yürütme ve etkinleştirme etkinleştirme ve etkinleştirme için DLL’leri düşürür.
Kerberoasting Sömürü
Yürütme üzerine, silahlandırılmış macun, kısa aralıklarla çalışacak ve kalıcılık için kötü niyetli DLL’ler çağıracak şekilde yapılandırılmış “güvenlik güncelleyici” veya “Firefox Agent Inc” gibi planlanmış görevler yaratır.
Bu DLL’ler, komut ve kontrol (C2) sunucularına 443 numaralı bağlantı noktasına giden bağlantıları kolaylaştırarak, tehdit aktörlerinin “nlTest /Trusted_Domains”, “Net Grup ‘alan adlarının /alanının” ve “NLTest /DCList:” dahil olmak üzere CMD.EXE aracılığıyla keşif komutları gerçekleştirmelerine izin verir (NLTest /DCLIST: ”. Yüksek değerli hedefler için keşif.
Anahtar bir aşama, Kerberoasting için bellek içi bir PowerShell betiği içeriyordu ve Active Directory’deki Kerberos kimlik doğrulama zayıflıklarından yararlandı.
Bu komut dosyası Sistemi yükler.
AES Muhafaza eksikliği olan RC4-HMAC’ye karşı savunmasız ortamlar, özellikle risk altındadır, çünkü tehlikeye atılan hizmet hesapları genellikle yanal hareket için ayrıcalıklı erişim sağlar.
Level Blue’nun USM Anywhere platformu, etkilenen SPN’lerin hızlı tanımlanmasını ve kimlik bilgisi sıfırlama önerilerini sağlayarak ilgili olay kimliği 4769 günlüklerini yakaladı.
Komut dosyasının tasarımı, PowerSploit’in Invoke-Kerberoast’tan çizimi, ancak sadece bellek çalışması için optimize edilmiş, saldırganların algılamadan kaçınmaya (LOLBINS) yaşam-kapanma ikili dosyalarını (Lolbins) uyarlamasını örneklendiriyor.
Kampanya İçgörüleri
Yanıt olarak, Level Blue MDR etkilenen varlıkları SentinelOne aracılığıyla izole etti, devre dışı bırakılmış hesaplar ve gözlemlenen IOC’leri kullanarak filo çapında tehdit avları yürüttü ve diğer ortamlarda infazları önledi.
Sentinelone’un bu TTP’lere karşı yeteneklerini artırmak için özel algılama kuralları konuşlandırıldı.
Daha fazla analiz[.]Org ve Puttystems[.]Com, yükleri barındıran WordPress sitelerine yönlendirilen.
Saldırganlar çeşitli dosya karmalar, kod imzalama sertifikaları (örneğin, “Comb Reivers Limited” veya “LLC Fortuna”) ve iş adlarını karma tabanlı savunmalardan kaçınmaya yönelik. Microsoft reklamcılığına rapor vermesine rağmen, reklam doğrulamasındaki eksiklikleri vurgulayarak yeni varyantlar ortaya çıktı.
Kuruluşlar, kullanıcı eğitimini uygulamalı, veteriner araç depolarını korumalı ve bu tür tehditleri azaltmak için listelenen alanları engellemeli ve hiçbir rolün sosyal mühendisliğe karşı bağışık olmadığını vurgulamalıdır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Göstergeler |
|---|---|
| Alanlar | pastel[.]Org, Puttystems[.]com, updaterputty[.]com, macun[.]Bahis, Puttyy[.]com, macun[.]Koş, macun[.]Lat, macun[.]biz[.]com, HeartLaneenergy[.]AI, macun[.]Ağ, Ruben.findinit[.]com, ekeitoro.siteinwp[.]com, Danielaurel[.]TV |
| Dosya Signers | The Comb Reivers Limited, New Vision Marketing LLC, Proftorg LLC, LLC Fortuna, LLC Cesur, LLC Infomed22 |
| IPS | 45.86.230[.]77, 185.208.159[.]119, 144.217.207[.]26, 85.239.52[.]99, 194.213.18[.]89 |
| Url’ler | HXXP[:]//185.208.158[.]119/api/jgfnsfnuefcnegfnehjbfncejfh, hxxp[:]//185.208.158[.]119/Fire/KCEHC, HXXP[:]//45.86.230[.]77: 443/reg, hxxp[:]//45.86.230[.]77: 443/giriş, hxxp[:]//85.239.52[.]99/api/jgfnsfnuefcnegfnehjbfncnch, hxxp[:]//85.239.52[.]99/API/KCEHC, HXXP[:]//194.213.18[.]89: 443/reg, hxxp[:]//194.213.18[.]89: 443/giriş |
| Planlanan görevler | Güvenlik Güncelleyici, Firefox Agent Inc |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!