Meşru altyapıyı kötü amaçlar için kötüye kullanan tehdit aktörlerinin son evriminde yeni bulgular, ulus devlet bilgisayar korsanlığı gruplarının kritik altyapıyı hedeflemek için sosyal platformdan yararlanma mücadelesine girdiğini gösteriyor.
Discord, son yıllarda kârlı bir hedef haline geldi; içerik dağıtım ağını (CDN) kullanarak kötü amaçlı yazılım barındırmak için verimli bir zemin görevi görüyor, bilgi hırsızlarının hassas verileri uygulamadan çekmesine olanak tanıyor ve web kancaları aracılığıyla veri sızıntısını kolaylaştırıyor.
Trellix araştırmacıları Ernesto Fernández Provecho ve David Pastor Sanz Pazartesi günkü bir raporda, “Discord’un kullanımı büyük ölçüde herkesin internetten satın alabileceği veya indirebileceği bilgi hırsızları ve gaspçılarıyla sınırlıdır.” dedi.
Ancak siber güvenlik firması, Ukrayna’nın kritik altyapılarını hedef alan bir yapay nesnenin kanıtını bulduğunu söylediği için bu durum değişiyor olabilir. Şu anda onu bilinen bir tehdit grubuyla ilişkilendiren hiçbir kanıt yok.
Araştırmacılar, “Discord’un işlevlerinden yararlanan APT kötü amaçlı yazılım kampanyalarının potansiyel olarak ortaya çıkması, tehdit ortamına yeni bir karmaşıklık katmanı getiriyor” dedi.
Örnek, kar amacı gütmeyen dobro.ua’nın kimliğine bürünen bir e-posta mesajı aracılığıyla dağıtılan bir Microsoft OneNote dosyasıdır.
Dosya açıldığında, bubi tuzaklı bir düğmeye tıklayarak alıcıları bağış yapmaları için kandıran Ukraynalı askerlere referanslar içerir; bu, başka bir PowerShell indirmek için bir PowerShell betiğini çıkarıp çalıştırmak üzere tasarlanmış Visual Basic Komut Dosyasının (VBS) yürütülmesiyle sonuçlanır. GitHub deposundan komut dosyası.
PowerShell, son aşamada sistem meta verilerini filtrelemek için Discord web kancasından yararlanıyor.
“Nihai payload’ın tek amacının sistem hakkında bilgi edinmek olması, kampanyanın henüz erken aşamada olduğunu gösteriyor ki bu da Discord’un şu şekilde kullanılmasıyla da örtüşüyor: [command-and-control]” dedi araştırmacılar.
“Ancak, aktörün gelecekte GitHub deposunda saklanan dosyayı değiştirerek güvenliği ihlal edilen sistemlere daha karmaşık bir kötü amaçlı yazılım parçası gönderebileceğini vurgulamak önemlidir.”
Trellix’in analizi ayrıca SmokeLoader, PrivateLoader ve GuLoader gibi yükleyicilerin, RedLine, Vidar, Agent Tesla ve Umbral gibi hırsızlar da dahil olmak üzere bir sonraki aşama veri yükünü indirmek için Discord’un CDN’sini kullanan en yaygın kötü amaçlı yazılım aileleri arasında yer aldığını ortaya çıkardı.
Üstelik Discord web kancaları kullanılarak gözlemlenen yaygın kötü amaçlı yazılım ailelerinden bazıları Mercurial Grabber, Stealerium, Typhon Stealer ve Venom RAT’tır.
Araştırmacılar, “Discord’un CDN’sinin ek kötü amaçlı yazılım yükleri için bir dağıtım mekanizması olarak kötüye kullanılması, siber suçluların işbirlikçi uygulamalardan kendi çıkarları için yararlanma konusundaki uyarlanabilirliğini gösteriyor” dedi.
“APT’ler karmaşık ve hedefli saldırılarıyla tanınıyor ve Discord gibi yaygın olarak kullanılan iletişim platformlarına sızarak ağlar içinde uzun vadeli dayanakları etkili bir şekilde oluşturarak kritik altyapıyı ve hassas verileri riske atabiliyorlar.”