Raporlar, kurbanları sahte Chrome tarayıcı güncellemeleriyle NetSupport Manager adlı bir Uzaktan Yönetim Aracı yüklemeye çeken devam eden bir kampanya olduğunu gösteriyor.
Tehdit aktörleri bu uzaktan yönetim yazılımını bir bilgi hırsızı olarak ve kurbanın bilgisayarlarının kontrolünü ele geçirmek için kullanır. Soruşturmalar bunu, daha önce bir Rus tehdit aktörü tarafından yürütülen, ancak hâlâ sonuçsuz kalan şüpheli bir SocGholish kampanyasına işaret ediyor.
Ancak Trellix Gelişmiş Araştırma Merkezi Kıdemli Başkan Yardımcısı, “%63,55 pazar payına sahip Chromium, küresel kullanım nedeniyle artık NetSupport RAT saldırıları için fiilen en çok hedeflenen tarayıcıdır. Kuruluşlar, siber riski azaltmak için gereken yönetim ve araçlara sahip olmak için bütünsel küresel tehdit istihbaratına ve yenilikçi güvenlik çözümlerine ihtiyaç duyuyor.”
API Saldırıları %400 Arttı – API’lerinizi Pozitif Güvenlik Modeli ile Korumanın Temellerini Anlayın – Ücretsiz Web Semineri İçin Şimdi Kaydolun
Şimdi üye Ol
Sahte Chrome Tarayıcı Güncellemesi
Bu sahte krom güncellemeleri, tehdit aktörlerinin C2 sunucularından kötü amaçlı JavaScript içeriği yükleyen basit bir HTML komut dosyası etiketi enjekte edilen güvenliği ihlal edilmiş web siteleri aracılığıyla yayılır. Ancak, bu işlem otomatikleştirilmiş gibi görünüyor ve bir dizin yapısını takip ediyor.
Daha ayrıntılı analizler, Federal Hükümetten, Finans kurumlarından ve danışmanlık hizmetlerinden gelen trafikle güvenliği ihlal edilmiş birçok web sitesini gösterdi. Güvenliği ihlal edilmiş bu web siteleri “/cdn-js/wds.min.php” kontrol edilerek tespit edilebilir.
Önceden, tehdit aktörleri, RAT’ı indirmek ve yüklemek için WMI işlevine sahip PowerShell’i kullanıyordu. Ancak mevcut kampanya, RAT indirmesi için PowerShell betikleri yerine toplu iş dosyalarını (.bat), VBscript’leri ve curl araçlarını kullanıyor.
Tarayıcı Güncelleme Bağlantısı
Bir kullanıcı sahte tarayıcı güncelleme bağlantısını tıkladığında, bir sonraki aşama kötü amaçlı yazılım indirici görevi gören “Browser_portable.js” adlı kötü amaçlı bir JS dosyasından oluşan “UpdateInstall.zip” adlı bir ZIP arşivini indirir.
İkinci aşama JS dosyası, tehdit aktörlerinin C2 sunucusundan alınan ve çalıştırılan “Chrome_update.js” olarak adlandırılmıştır. Bu, yerel “C://ProgramData” klasöründeki “1.bat” toplu iş dosyasını indirir ve onu çalıştırır.
Buna ek olarak, 1.bat, çalıştırılmadıkları için sahte oldukları araştırılan VBScript ve toplu iş dosyalarını bırakır. Diğer bileşenler ve son toplu komut dosyası 2.bat, curl komutları kullanılarak indirilir.
Bu bileşenler, NetSupport Manager RAT yazılım paketi olan ve 2.bat dosyası tarafından yürütülen 7-zip arşiv dosyasından oluşur.
Bu kampanya ve kötü amaçlı yazılım kaynak kodu hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor Trellix tarafından yayınlandı.
Uzlaşma Göstergeleri
hxxps://altiordp[.]com/cdn/www.php
hxxps://cheetahsnv[.]com/cdn-js/wds.min.php
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/1.bat?964084
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/tempy.7z
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/7zz.exe
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/2.bat
Dosyalar
e67f8b91555993e6315ffa9b146c759b9eeac5208116667fa4b31c717ebe5398 *1.bat 675ede331d690fff93579f9767aa7f80cfbc9d4b99afe298ba3b456ee292ac71 *2.bat c136b1467d669a725478a6110ebaaab3cb88a3d389dfa688e06173c066b76fcf *7zz.exe 00cf43f66d27692f25da1771dca7bf8c3c0e5aa78b35090013b013c17ceb0fff *Chrome_update.js b9711d8d6d1fd59ea9276a70e0b37c28ae26a105c325448e5d62f7858d61b8c2 *UpdateInstaller.zip 7f976e221ece8acac5f6ea32d2ad427a9bcb237e6a6f754043265073cc004ce1 *Browser_portable.js 42679bd369a3b772c43b9ba20bf8a31a2593a360cfa2de77aa6d2023f9a0c109 *tempy.7z Client32 config [HTTP] CMPI=60 GatewayAddress=5.252.178.48:443 GSK=GA;L@KDPHB Port=443 SecondaryGateway= SecondaryPort=
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.