Kullanıcı sistemleri üzerinde yetkisiz kontrol elde etmek için Logmein Remonein uzaktan erişim yazılımını çözen gelişmiş bir siber saldırı kampanyası ortaya çıktı.
Güvenlik araştırmacıları, saldırının, alıcıları kötü niyetli bir PDF eki açmak için kandırmak için tasarlanmış ikna edici hazırlanmış bir fatura temalı spam e-postasıyla başladığını bildiriyor.
Bu kampanya, sosyal mühendislik taktiklerinin devam eden tehdidini ve kötü niyetli amaçlar için meşru BT araçlarının kötüye kullanılmasını vurgulamaktadır.
.png
)
Saldırı Zinciri: Fatura e -postasından sistem uzlaşmasına kadar
Kampanyanın ilk aşaması, gecikmiş bir fatura içerdiğini iddia eden bir spam e -postası içerir. E -posta, alıcıyı standart bir iş belgesini taklit eden ekli bir PDF açmaya çağırıyor.
Açıldıktan sonra belge, kullanıcının faturayı görüntülemek için Adobe Acrobat Reader’ı güncellemesini isteyen bir mesaj görüntüler. Bununla birlikte, meşru bir güncelleme yerine, bu istem, meşru bir uzaktan erişim aracı olan Logmein Resolve’nin sessiz kurulumunu başlatır.
Kurulduktan sonra Logmein, saldırganlara tehlikeye atılan sisteme tam uzaktan erişim sağlar.
Bu, meşru BT destek faaliyeti kisvesi altında çalışırken komutları yürütmelerine, verileri dışarı atmalarına ve potansiyel olarak ek kötü amaçlı yazılım dağıtmalarına olanak tanır.
Uzlaşma göstergeleri (IOCS) tanımlandı
Araştırmacılar bu kampanyayla ilişkili birkaç temel gösterge belirlediler:
- Kötü niyetli indir URL:
Hxxps[://]gecikmiş-invoices dağıtılmış[.]ağlamak[.]Uygulama/Başarı[.]HTML - Kötü niyetli yürütülebilir ürünler:
- Inv-inv002811.exe
- Karmalar:
- Dbfd65386e28097f2dbe21eadbdba37
- 8D50C26C4A9D4325D5FEBFB6DA647FC382DEE224DB03CEE994E6021F9B50941D
- Karmalar:
- Atted_overdue_statement.exe
- Karmalar:
- 366205D586E4EBCCCA7D18307FB7E051
- e3e183ddee889b99564fc7d4c7c29e7825fae03b75f2fa7c72263605b1c8
- Karmalar:
- Inv-inv002811.exe
- Logmein Çözme Yapılandırma Verileri:
- CompanyID: 7051889796388834818, 2462565644419079679
- FleAteMplateNam
Savunma önlemleri ve önerileri
- İstenmeyen e -postalardan, özellikle de faturalar veya hesap sorunları hakkında acil eylemde bulunanlar konusunda dikkatli olun.
- E -posta eklerinde veya tanıdık olmayan web sitelerinden istemlerden yazılım veya güncellemeler asla yüklemeyin. Uygulamaları her zaman doğrudan resmi kaynaklardan güncelleyin.
- Yetkisiz uzaktan erişim araçlarının varlığını izleyin ve beklenmedik uzak oturumları inceleyin.
Bu kampanya, e -posta eklerini ve yazılım kurulum istemlerini ele alırken uyanıklık ve şüpheciliğin öneminin altını çizmektedir.
Logmein Reserve gibi güvenilir uzaktan erişim çözümleri bile kullanıcı bilgisi olmadan konuşlandırılırsa saldırganlar tarafından istismar edilebilir.
Organizasyonlar ve bireyler, bu tür tehditlere karşı savunmak için uyanık kalma ve sağlam uç nokta korumasını sağlamalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin