Trend Micro araştırmacıları kısa bir süre önce Avustralya sağlık kuruluşlarına, onları etkilemek için VLC Media Player kullanan Gootkit yükleyici kötü amaçlı yazılım operatörleri tarafından yeni bir SEO zehirlenmesi kampanyası başlatıldıktan sonra bir Cobalt Strike işaretinin bulaştığını bildirdi.
Sömürü sonrası Cobalt Strike araç setini konuşlandırarak kurumsal ağlara ilk erişimi elde etmek, bu kötü amaçlı kampanyanın birincil amacıdır ve bu, kötü amaçlı araç setini virüs bulaşmış cihazlara dağıtarak yapılır.
Aşağıdaki yasa dışı görevler uzak operatörler tarafından gerçekleştirilebilir:-
- Ağ taramaları
- Ağ boyunca yanal hareket edin
- Hesap kimlik bilgilerini ve dosyalarını çalın
- Daha tehlikeli yükler dağıtın
Benzer bir arama motoru sonucu zehirlenme kampanyası, Gootloader olarak da bilinen Gootkit yükleyici tarafından geçen yaz başlatıldı. 2020’de REvil çetesiyle yapılan bir işbirliği, Gootloader’ın geçmişte fidye yazılımı bulaşmalarıyla ilişkilendirilmesinin bir sonucu olarak kötü amaçlı yazılımın manşetlere geri dönmesiyle sonuçlandı.
VLC Player’ı Kötüye Kullanmak
Bu saldırının temel özelliklerinden biri, yasal bir uygulama olarak yaygın olarak kullanılan VLC Media Player’ı kötüye kullanmasıdır.
Yalnızca Windows işletim sistemi için VLC Media Player’ın 3,5 milyardan fazla indirilmesiyle, onu en popüler yazılım parçalarından biri yapar.
Geçmişte APT10’un da benzer suistimallerde bulunduğuna dair raporlar var. Kötü amaçlı yazılım yazarları, VLC Media Player’dan yararlanmak ve onu Cobalt Strike’ın bir parçası olarak manipüle etmek için aşağıdaki kötü amaçlı DLL’yi kendi kötü amaçları için kullanmak üzere yandan yüklediler: –
- msdtc.exe (“VLC Media Player” olarak yeniden adlandırıldı ve meşru bir dosya)
- libvlc.dll (kötü amaçlı, Trojan.Win64.COBEACON.SWG olarak algılandı)
SEO Zehirlenmesi
Gootloader, Avustralya sağlık sektörünü hedeflemek için kısa bir süre önce, SEO zehirlenmesinin yardımıyla kötü amaçlı web sitelerine bağlantılar içeren Google’ın arama sonuçlarına yanlış yorumlar ekleyerek Google’ın spam filtrelerinden kaçınmak için bir kampanya başlattı.
Kampanyanın bir sonucu olarak, Avustralya şehir adlarıyla birleştirilmiş tıpla ilgili birkaç anahtar kelime, Ekim 2022’de aşağıdakiler de dahil olmak üzere arama motoru sonuçlarında üst sıralarda yer aldı:-
- Anlaşma
- Hastane
- Sağlık
- Tıbbi
Siber suçlular tarafından kullanılan ve tümü tehdit aktörünün web sitesine bağlantılar içeren birçok meşru web sitesine birçok gönderi gönderilmesini içeren bir teknik, SEO zehirlenmesi olarak bilinir.
Arama motorlarının bu meşru siteleri dizine eklemesi ve aynı URL’yi tekrar tekrar gördükleri anda ilişkili anahtar kelimeler için arama motoru sonuçlarına dahil etmesi çok olasıdır.
Bu, bu arama terimlerinin popülaritesi nedeniyle Google arama sonuçlarında bu terimler için çok yüksek bir sıralamaya neden olur.
Çoğu durumda, Gootkit’in kullandığı web siteleri, genellikle bilgisayar korsanları tarafından kullanılan, saldırıya uğramış web siteleridir. Arama motorlarından gelen ziyaretçilere, kötü amaçlı JavaScript komut dosyaları enjekte edilen bu saldırıya uğramış siteler aracılığıyla sahte Soru-Cevap forumları gösteriliyor.
Gerçek sorulara verilen sahte yanıtların yanı sıra sorulan sorularla ilgili kaynaklara bağlantılar içeren sahte Soru-Cevap forumları vardır. Bu bağlantılarla ilgili sorun, kullanıcıların cihazlarına kötü amaçlı yazılım bulaştırabilmeleridir.
Ek Araçlar
Aşağıda, kullanılan ek araçlardan bahsetmiştik: –
- PSHound.ps1: SharpHound için HackTool.PS1.BloodHound.C olarak algılandı ve Cobalt Strike aracılığıyla yürütüldü.
- soo.ps1: Trojan.Win32.FRS.VSNW0EK22 olarak algılandı
- Dahili makinelere 389, 445 ve 3268 numaralı bağlantı noktalarına giden çoklu giden bağlantılar
- Bağlantı Noktası 445: Uzak ağ paylaşımı SMB
- Bağlantı Noktası 389, 3268: LDAP bağlantı noktaları
Cobalt Strike işaretlerini konuşlandırma
En son Gootloader kampanyası sırasında, tehdit aktörleri, sağlık hizmetleriyle ilgili gibi görünen bir belge şablonu sunmak için bir ZIP arşivindeki doğrudan indirme bağlantısını kullanıyor.
Bu ZIP arşivinde, Gootkit yükleyicinin bileşenlerini içeren bir JS dosyası bulunur. Bu dosya her çalıştırıldığında, daha sonra çalıştırması talimatı verilen ve başlatıldıktan sonra cihaza daha fazla kötü amaçlı yazılım indiren bir PowerShell betiği bırakır.
Bu noktada kötü amaçlı yazılım, komut ve kontrol sunucularının yanı sıra Gootloader kampanyasıyla ilişkili olanlar aracılığıyla aşağıdaki dosyaları indirir: –
MSDTC hizmeti gibi görünen yürütülebilir bir dosya, oynatıcı olarak görünmek için gizlenmiş VLC ortam yürütücüsünün yasal ve imzalı bir sürümüdür.
Cobalt Strike modülüyle ilgili bir enfeksiyon, adını meşru bir VLC dosyasından alan medya yürütücüyü başlatmak için dosyadan sonra çağrılan DLL’ye bağlanır.
Sonuç olarak, VLC yürütülebilir dosyası, sonraki görevi gerçekleştirmek için iki işlem oluşturur: –
Burada barındırılan Cobalt Strike işaretçileriyle ilişkili etkinlikler var. Bu tür bir saldırı, genellikle bir fidye yazılımı saldırısından önce, Cobalt Strike tespit edildiğinde gerçekleştirilir.
Ancak Trend Micro’daki araştırmacıların bu durumda nihai yükü toplama fırsatı olmadı, bu nedenle gözlemlenemedi.
Öneri
Ancak sorun şu ki, bu zehirlenme kampanyaları gerçekleştiğinde kandırılmaktan kaçınmak çok zor olabilir.
Sonuç olarak, virüs bulaşmamasını sağlamanın en iyi yolu, uzmanlar tarafından önerilen güvenlik tavsiyelerine uymaktır ve burada bunlardan aşağıda bahsetmiştik:-
- Dosyaları indirmek için yalnızca güvenilir kaynakların kullanıldığından emin olun.
- Gerçek dosya adını daha iyi görebilmek için dosya uzantılarını etkinleştirmeniz gerekir.
- Ne olduklarını bilmiyorsanız, tehlikeli uzantılara sahip dosyalara tıklamayın.
- İndirilen herhangi bir dosyayı çalıştırmadan önce, kötü amaçlı olup olmadığını belirlemek için onu VirusTotal’a yüklemeniz kesinlikle önerilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin