Lunar Spider olarak bilinen sofistike bir siber suç grubu, tek bir kötü niyetli tıklamayla bir Windows makinesini başarıyla tehlikeye attı ve kimlik bilgilerini toplamalarına ve yaklaşık iki ay boyunca kalıcı erişimi sürdürmelerine izin veren bir dayanak oluşturdu.
Mayıs 2024’te başlayan izinsiz giriş, ilk erişimin hızla tam alan uzanması için hızla yükselebileceği gelişen tehdit manzarasını gösteriyor.paste.txt
Saldırı, şüphesiz bir kullanıcı, özellikle “Formw-9ver-I4053B043910-86G91352U7972-6495Q3.JS” olarak adlandırılan meşru bir vergi formu olarak maskelenen yoğun bir şekilde gizlenmiş bir JavaScript dosyasını yürüttüğünde başladı.
İlk olarak güvenlik araştırmacıları tarafından bildirilen ve Lunar Örümcek Başlangıç Erişim Grubu Eclecticiq tarafından ilişkili olan bu kötü niyetli dosya
JavaScript yükü, uzak bir sunucudan bir MSI paketinin indirilmesini hemen tetikledi, bu da daha sonra meşru Windows yardımcı programı Rundll32’yi kullanarak bir kaba ratel dll dosyasını dağıttı.
Bu çok aşamalı yaklaşım, tehdit aktörlerinin, birden fazla Cloudflare Proxied Domains.paste.txt ile komut ve kontrol iletişimi oluştururken Explorer.exe işlemine latrodectus kötü amaçlı yazılımları enjekte etmesine izin verdi.
Erişimin ilk saatinde, Latrodectus yükü, güvenliği ihlal edilmiş sistemlerden kimlik bilgilerini toplamak için tasarlanmış özel bir Stealer modülünü aldı.
Kötü amaçlı yazılım, Google Chrome, Microsoft Edge, Yandex tarayıcısı, Vivaldi ve diğer çok sayıda varyant dahil olmak üzere 29 farklı krom tabanlı tarayıcıyı hedefleyen sofistike özellikler gösterdi. Firefox, çerezleri hedefleyen profil numaralandırması yoluyla ayrı kullanım aldı.
Kimlik bilgisi hasat, Windows kayıt defteri anahtarlarını sorgulayarak Microsoft Outlook’tan Office sürümleri 11.0-17.0 üzerinden e-posta yapılandırmalarını eklemek için tarayıcıların ötesine uzanmıştır.
SMTP, POP3, IMAP ve NNTP sunucu adresleri, bağlantı noktası numaraları, kullanıcı adları ve şifreli şifreler dahil, saldırganlara mağdurun iletişim altyapısına kapsamlı erişim sağlayan SMTP, POP3, IMAP ve şifrelenmiş şifreler dahil olmak üzere STEALER CONFIGREAD’ları
Etki Alanı Yöneticisi Erişim
Tehdit aktörlerinin kalıcılığı, otomatik bir dağıtım işleminden kalan düz metin alan yöneticisi kimlik bilgilerini içeren bir uncatend.xml windows cevap dosyası keşfettiklerinde üçüncü günde temettü ödedi.
Dördüncü günde, tehdit oyuncusu, Beachhead sunucusundaki BackConnect aracılığıyla LSASSA.EXE adlı bir ikili olarak konuşlandırdı ve yürüttü.
Bu keşif, potansiyel etkilerini ve yanal hareket yeteneklerini önemli ölçüde genişleterek, etki alanı ortamına hemen yüksek derecede yüksek erişim sağladı.
Kampanya boyunca, Lunar Spider, explorer.exe, sihost.exe ve toolsv.exe gibi meşru pencereler süreçlerine süreç enjeksiyonu da dahil olmak üzere sofistike kaçırma teknikleri kullandı.
Kayıt defteri çalıştırma anahtarları ve planlanan görevler de dahil olmak üzere birden fazla kalıcılık mekanizması oluşturdular, erişimlerinin sistem yeniden başlatmalarından ve temel iyileştirme girişimlerinden kurtulmasını sağladılar.
Saldırganlar, Brute Ratel, Latrodectus ve Cobalt Strike Beacons gibi birden fazla komut ve kontrol çerçevesi kullandılar ve altyapılarıyla gereksiz iletişim kanalları oluşturdular.
Bu çok katmanlı yaklaşım, profesyonel siber suçlu kuruluşlarına özgü gelişmiş operasyonel güvenlik uygulamaları gösterdi.
Uzatılmış bekleme süresi
Dikkat çekici bir şekilde, tehdit aktörleri ilk uzlaşmayı takiben yaklaşık iki ay boyunca aralıklı komuta ve kontrol erişimini sürdürdüler.
İzinsiz girişin yirmi gününde, FTP bağlantıları üzerinden yeniden adlandırılan bir RCLone ikili kullanılarak dosya paylaşım sunucularından verileri başarıyla açıkladılar.
Genişletilmiş bekleme süresine ve kritik altyapıya kapsamlı erişimine rağmen, bu saldırı sırasında fidye yazılımı dağıtım gözlenmemiştir, bu da saldırganların yıkıcı faaliyetler üzerinde veri hırsızlığına öncelik verdiğini düşündürmektedir.
Kampanya, iyi kaynaklanan siber suçlu grupların yarattığı kalıcı tehdidi ve sağlam güvenlik izleme ve hızlı olay müdahale yeteneklerinin önemini vurgulamaktadır.paste.txt
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.