Siber güvenlik tehditleri, APT grupları ve fidye yazılımı çeteleri de dahil olmak üzere çeşitli aktörler tarafından istismar edilen, VPN’ler ve güvenlik duvarları gibi kamuya açık varlıklardaki güvenlik açıklarını giderek daha fazla hedef alıyor.
Bu odaklanma anlaşılabilir olsa da, kimlik avı e-postaları, kötü amaçlı web siteleri ve sosyal mühendislik gibi geleneksel saldırı vektörlerini göz ardı etmemek çok önemlidir; çünkü bunlar, saldırganların elinde güçlü araçlar olmaya devam etmektedir.
Bir Japon üniversite araştırma laboratuvarının web sitesi, 2023 yılında büyük olasılıkla araştırmacıları ve öğrencileri hedef alan bir sulama deliği saldırısı yoluyla ele geçirildi. Bu saldırı, akademik kurumların siber tehditlere karşı savunmasızlığını ve hassas araştırma verilerini korumak için sağlam güvenlik önlemlerine duyulan ihtiyacı vurguluyor.
Bir saldırı, kullanıcıları kandırarak, yasal yazılım olarak gizlenen ve yürütüldüğünde kullanıcının sistemine bulaşan kötü amaçlı bir yazılım olan kötü amaçlı Adobe Flash Player güncellemesini indirmeleri konusunda kandırmak için güvenliği ihlal edilmiş bir web sitesinden yararlanır.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Wateringhole saldırısında, geleneksel güvenlik açığından yararlanma yöntemlerini atlayarak, sık ziyaret ettikleri meşru bir web sitesini manipüle ederek kullanıcıları kötü amaçlı yazılımları manuel olarak indirmeye ve çalıştırmaya yönlendirmek için sosyal mühendislik kullanıldı.
FlashUpdateInstall.exe adlı kötü amaçlı yazılım, kendisini başarılı bir Adobe Flash Player güncelleme bildirimi olarak gizler ve birincil işlevi, etkilenen sistemde potansiyel olarak kötü amaçlı etkinlikler yürütebilecek temel kötü amaçlı yazılım olan system32.dll’yi yüklemektir.
JPCERT/CC’ye göre, Cobalt Strike Beacon 4.5 tarafından 666666 filigranıyla işaretlenen değiştirilmiş bir system32.dll dosyası, Early Bird Enjeksiyonu kullanılarak Explorer sürecine enjekte edildi.
Bu grup aynı zamanda diğer kötü niyetli faaliyetlerle de ilişkili olduğundan, daha geniş bir kampanyaya işaret ettiğinden, bir sulama deliği saldırısında C2 operasyonları için Cloudflare Çalışanlarından yararlanıyor.
Saldırgan, gizli mod, anti-analizi devre dışı bırakma, belge kaydetme, süreç ekleme ve otomatik yürütme dahil olmak üzere özelleştirilebilir seçeneklerle birlikte dosya adı gizleme, sahte belgeler ve kötü amaçlı yazılım içeren karmaşık bir teknik kullandı.
Kötü amaçlı yazılım, tespitten kaçması muhtemel süreçlere bir DLL enjekte eder; bu aynı zamanda belirli antivirüs işlemlerini de sonlandırır ve sistem kaynağı kullanımını ve sanal makine ortamlarını kontrol etmek gibi anti-analiz tekniklerini kullanır.
Sunucunun hasta-flower-*.nifttymailcom.workers.dev ile HTTPS ve 443 numaralı bağlantı noktasını kullanarak iletişim kurduğu şüpheli Cobalt Strike işaret yapılandırmasının ayrıntıları.
Muhtemelen indirilen bir JavaScript dosyası aracılığıyla kötü amaçlı kod enjekte ediyor ve dllhost.exe’yi bir üreme işlemi olarak kullanıyor; burada yapılandırma, kullanıcı aracısı sahtekarlığını içeriyor ve sunucudan ek kaynaklar alıyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin