Birim 42 Palo Alto Networks’teki araştırmacılar, Lampion Bankacılık Kötü Yazılımlarının arkasındaki tehdit aktörleri tarafından düzenlenen oldukça hedeflenmiş kötü niyetli bir kampanya ortaya çıkarıldı.
En az 2019’dan beri aktif olan Lampion, hassas bankacılık bilgilerini çıkarmak için kötü şöhretli bir infostealer.
2024’ün sonları ile 2025 başları arasında aktif olan bu son operasyon, hükümet, finans ve ulaşım sektörlerinde düzinelerce Portekizli kuruluşa sıfırlandı.
.png
)
Bu kampanyayı ayıran şey, kötü amaçlı yazılım aileleri arasında çekiş kazanan bir sosyal mühendislik taktiği ClickFix Lures’in benimsenmesidir.
ClickFix, kurbanları, Lumma Stealer ve Netsupport Rat gibi suşlarda da görülen bir teknik olan bilgisayar sorunlarını çözme bahanesi altında kötü amaçlı komutları kopyalamaya ve yürütmeye yönlendirir.
Karmaşık enfeksiyon zinciri ve gizleme taktikleri
Lampion kampanyası, kurbanları sahte bir Portekiz Vergi Otoritesi web sitesine yönlendiren bir HTML dosyası içeren kötü amaçlı bir fermuar dosyası içeren bir kimlik avı e-postasıyla başlıyor, Autoridade Tributaria[.]com.
Kullanıcılara, “dosya önizlemesini etkinleştir” e tercüme eden bir Portekizli yorumla gizlenmiş, kötü niyetli bir PowerShell komutunu RUN iletişim kutusuna kopyalamaları istenir.
Rapora göre, bu komut, algılamadan kaçınmak için tasarlanmış çok aşamalı bir enfeksiyon zincirini başlatarak şaşkın bir Visual Basic betiği (VBS) indiriyor.
Zincir, hurdalık değişkenleri ve dolaylı ASCII dönüşümleri ile şişirilmiş, 30 MB ila 50 MB boyutunda değişen ağır derecede gizlenmiş VBS komut dosyaları da dahil olmak üzere, meraksız olmayan birkaç işlem içerir.
Bu komut dosyaları keşif yapar, Windows Management Enstrümantasyonu (WMI) kullanarak güvenlik yazılımını kontrol eder ve sanal makineleri veya kum havuzlarını tespit eder.
Üçüncü aşama, kodlanmış kurban verilerini gönderen bulutla barındırılan bir komut ve kontrol (C2) sunucusu ile iletişim kurarken, dördüncü aşamalı DLL yükleyici, tehdit istihbarat platformlarında yükleme sınırlarını aşarak boyutta tutucu analizinde 700 MB üzerinde 700 MB.
Özellikle, son lamba yükü bu durumda yorumlanmış, muhtemelen bir test aşaması veya yaklaşan bir saldırı dalgası göstermiştir.
Saldırının, gizli planlanan görevleri ve başlangıç klasör komutlarını içeren dağınık yürütülmesi, bireysel olaylar tek başına iyi huylu görünebileceğinden, tespiti daha da karmaşıklaştırır.
Geçmiş Lampion kampanyalarıyla paylaşılan altyapı ve taktikler, teknikler ve prosedürler (TTP’ler), tehdit aktörlerinin tutarlı modus operandi’sini doğrulamaktadır.
Bu kampanya, düşük kullanıcı farkındalığı ile daha da kötüleşen artan ClickFix cazibesi tehlikesinin altını çiziyor.
Güvenlik uygulayıcılarının personeli bu tür sosyal mühendislik manastırlarını tanımak ve şüpheli davranışlar için PowerShell senaryo ve pano etkinliğini izlemeleri istenmektedir.
Palo Alto Networks müşterileri, gelişmiş URL filtreleme ve DNS güvenlik bayrağının kötü amaçlı alanlar ile ilişkili kötü niyetli alanlarını algılarken, kötü amaçlı VBS komut dosyalarını algılayan ve önleyen Cortex XDR ve XSIAM gibi çözümlerle korunur.
Acil kaygılar için, Ünite 42 Olay Müdahale Ekibi küresel destek sunar. Siber tehditler geliştikçe, proaktif savunma ve farkındalık Lampion gibi sofistike saldırılara karşı koymak için kritik olmaya devam ediyor.
Uzlaşma Göstergeleri (IOC)
| Tip | Gösterge |
|---|---|
| Kimlik avı e -posta SHA256 | EE4C8E4CCE55BD40AFA1FB0BC0EE3D7C23D0EBE2DB48C2092E854F6CA1472CE |
| Aşama 1 VBS SHA256 | 4aeb8dd7158a3508410f5525c7bfff2f30e0ed58ce139621b17f2374bdb35 |
| Aşama 3 VBS SHA256 | 58FE2A7D4435C9C24C9D33AF1110ADD4BF95ADD31558F51289A028DDAFCC6E |
| İhtisas | kol[.]bağımsız[.]com |
| C2 IP | 5.8.9[.]77, 83.242.96[.]159 |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir