Mart ayında, suçluların şüphelenmeyen kurbanları hedef almak için yeni taktikler ve yaklaşımlar kullandığı pek çok dikkate değer kimlik avı saldırısı yaşandı.
Mevcut tehdit ortamını daha iyi anlamak için en dikkat çekici beş kampanyadan bazılarını keşfetmenin zamanı geldi.
Kuruluşunuzun savunmasız olup olmadığını belirlemek için bu saldırıların ayrıntılarına çok dikkat edin.
Kurbanların Kimlik Bilgilerini Çalmak İçin SmbServer Kullanarak Saldırı
Ay, muhtemelen kötü şöhretli TA577 tehdit aktörünün gerçekleştirdiği bir saldırıyla başladı.
Kampanya mağdurların kimlik bilgilerini hedef aldı ve İngilizce veya Almanca yazılmış, konu satırında “Geçen gün tarafınıza bir materyal gönderdim, onu alabildiniz mi?” başlıklı bir sosyal mühendislik e-postasıyla başladı.
E-postaya eklenen, silah haline getirilmiş bir HTML dosyası içeren bir ZIP arşiviydi. Saldırı bundan sonra şu şekilde gelişti:
- Kurban, 450 baytlık bir şablon üzerine kurulu HTML sayfasını açtı.
- Sayfa, SMB protokolü aracılığıyla impacket-smbserver'ı kullanarak kullanıcıyı harici bir sunucudaki bir dosyaya yönlendirdi.
- Saldırganlar kurbanın IP adresini, NTLM sorgulama verilerini, Kullanıcı adını ve bilgisayar adını içeren verilerini aldı.
Bu kimlik avı kampanyasının gerçek dünyadan bir örneğini görüntülemek için şunu kullanın: bu analiz oturumu raporu ANY.RUN sanal alanında.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux'ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'u ÜCRETSİZ deneyin
Sahte MS Outlook Giriş Sayfalarını Kullanarak Saldırı
Mart ayının başlarında, başka bir kimlik avı kampanyası, Telegram botunu Cloudflare Workers'ta barındırılan kimlik avı sayfalarıyla birleştirdi.
Buradaki amaç, kuruluşlarının MS Outlook oturum açma sayfalarının görünümünü ve hissini otomatik olarak taklit ederek kullanıcı oturum açma bilgilerini çalmaktı.
Bu sayfalar çeşitli unsurları bünyesinde barındırıyordu:
- Base64 kodlu arka plan resimleri ve tasarım öğeleri doğrudan Microsoft'tan alınmıştır.
- Popper.js, jQuery ve Bootstrap gibi yaygın JavaScript kitaplıkları tanıdık bir kullanıcı deneyimi sağladı.
- Kurbanın şirket logosu Clearbit Logo hizmetinden alındı.
Saldırganlar kurbanın giriş bilgilerini bir Telegram botuna iletti. Kullanıcı daha sonra meşru bir Microsoft Outlook sayfasına yönlendirildi.
Gerçekleştirilen saldırının gerçek bir örneğine ANY.RUN sanal alanından erişilebilir.
Latin Amerika'daki Kullanıcıları Hedefleyen Saldırı
Mart ayında, coğrafi bölgeye özgü kampanyalardan biri LATAM bölgesindeki mağdurları hedef aldı. Bir örnekte saldırganlar, spam e-postalarının bir parçası olarak Kolombiya devlet kurumlarının kimliğine büründü.
Mesajlara, alıcıları trafik ihlalleri veya diğer yasal sorunlarla suçlayan PDF'ler eşlik ediyordu. Oradan saldırı şu şekilde gerçekleşti:
- Kullanıcı bir PDF açtı ve bir arşiv indirdi.
- Arşiv bir VBS betiği içeriyordu.
- Çalıştırıldıktan sonra komut dosyası bir PowerShell betiği çalıştırdı.
- Bu PowerShell betiği, meşru bir depolama hizmetinden son yükü getirdi.
Son yük, birkaç uzaktan erişim truva atından (RAT) biriydi: AsyncRAT, NjRAT ve Remcos.
NjRAT bulaşmasıyla sonuçlanan saldırının yürütme zincirinin tamamını bir sanal alanda görün.
STRRAT'ı Bırakmak için AWS'yi Kötüye Kullanan Saldırı
Yükleri depolamak için AWS ve Github gibi meşru hizmetleri kullanan bu kimlik avı kampanyası bir kez daha sosyal mühendisliğe dayanıyordu.
Mağdurlar, kendilerini bir düğmeye tıklayarak ödeme bilgilerini doğrulamaya teşvik eden e-postalar aldı ve bu durum aşağıdakilere yol açtı:
- Kurbanlar düğmeye tıklayarak ödeme faturası görünümüne bürünmüş kötü amaçlı bir JAR dosyası indirdiler.
- Dosya, başlatıldıktan sonra iki JAR dosyasını daha çalıştırmak için bir PowerShell komutu kullandı.
- Son aşama, VCURMS veya STRRAT kötü amaçlı yazılımlarının Github veya AW'lerden çekilip kurbanın sistemine bulaşmasını içeriyordu.
Github'dan indirilen STRRAT örneğini görmek ve bu kötü amaçlı yazılımın yapılandırmasını toplamak için şunu kullanın: bu analiz oturumu ANY.RUN'da.
TikTok ve Google AMP'yi Kullanarak Saldırı
Bu listedeki en son kimlik avı kampanyası, kullanıcıların kimlik bilgilerini girmelerini sağlamak için aynı anda birkaç meşru hizmeti kullandı. TikTok'tan başlayıp Cloudflare ile biten bir yönlendirme zinciri kullandı.
İşte saldırıya ilişkin ayrıntılı bir genel bakış:
- URI “&target=” parametresine Google AMP harici adresini yerleştiren bir TikTok bağlantısı, bir yönlendirmeyi tetikler.
- Google AMP daha sonra gizli bir adresi gizledi ve bu da URL Kısaltıcı Hizmetine yol açtı. Hedef etki alanı adresi, yeniden yönlendirme hedefini maskelemek için Unicode karakterler içeriyordu.
- URL kısaltma hizmeti, kurbanın tarayıcısını kimlik avı sayfasını barındırmak için kullanılan Cloudflare'e yönlendirdi.
Sayfada, tarayıcı oluşturma sırasında kademeli olarak şifresi çözülen ve bir araya getirilen çeşitli şifrelenmiş kod öğeleri içeren bir form yer alıyordu. Ayrıca sağ tıklama etkileşimlerini de engelleyerek öğe incelemesini zorlaştırıyordu.
Form gönderildikten sonra kurbanın çalınan verileri bir HTTP POST isteği aracılığıyla saldırganlara iletildi.
Bu kampanyaya içeriden bakmak için bkz. Bu analiz oturumu.
ANY.RUN'da Kimlik Avı Kampanyalarını Analiz Edin
ANY.RUN, kötü amaçlı yazılım ve kimlik avı saldırılarının gelişmiş analizine yönelik bir bulut sanal alanıdır.
Hizmet, tehdidi inceleyebileceğiniz ve tehditle ve sistemle etkileşimde bulunabileceğiniz tamamen etkileşimli bir sanal ortam sağlar.
Örneğin kimlik avı durumunda, saldırı zincirinin tamamını anlamak için insan etkileşimi gerektiren adımları tamamlamanıza yardımcı olabilir.
Korumalı alan aynı zamanda kötü amaçlı ağ ve kayıt defteri etkinliğini kolayca izlemenize, süreçleri takip edip incelemenize, güvenlik ihlali göstergelerini çıkarmanıza ve tehdit raporlarını indirmenize olanak tanır.
ANY.RUN'un kuruluşunuza nasıl fayda sağlayabileceğini görün. Güvenlik ekibiniz için kişiselleştirilmiş bir demo planlayın.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.