Tehdit aktörlerinin, özellikle finansal motivasyona sahip olanların, ms-appinstaller URI şeması (Uygulama Yükleyici) aracılığıyla kötü amaçlı yazılım yaydığı gözlemlendi. Bu etkinliğin sonucunda Microsoft, ms-appinstaller protokol işleyicisini varsayılan olarak devre dışı bırakmıştır.
Microsoft Tehdit İstihbaratı ekibi, “Gözlenen tehdit aktörü etkinliği, fidye yazılımı dağıtımına yol açabilecek kötü amaçlı yazılımlara erişim vektörü olarak ms-appinstaller protokol işleyicisinin mevcut uygulamasını kötüye kullanıyor” dedi.
Ms-appinstaller protokol işleyici vektörü, Microsoft Defender SmartScreen gibi güvenlik önlemlerini ve kullanıcıları kötü amaçlı yazılımlardan korumayı amaçlayan yürütülebilir dosya türlerini indirmek için yerleşik tarayıcı uyarılarını atlayabildiği için muhtemelen tehdit aktörlerinin seçtiği vektördür.
Microsoft Tehdit İstihbaratı, Uygulama Yükleyiciyi Storm-0569, Storm-1113, Sangria Tempest ve Storm-1674 dahil olmak üzere çeşitli aktörlerin insan tarafından çalıştırılan fidye yazılımı etkinlikleri için bir giriş noktası olarak tanımladı.
Meşru uygulamaları yanıltmak, kullanıcıları yasal uygulamalara benzeyen kötü amaçlı MSIX paketleri yüklemeleri için kandırmak ve ilk kurulum dosyalarında tespit edilmekten kaçınmak, fark edilen faaliyetlerden bazılarıdır.
Uygulama Yükleyiciyi Kötüye Kullanan Mali Amaçlı Tehdit Aktörleri
Microsoft, Storm-0569’un, AnyDesk, Zoom, Tableau ve TeamViewer dahil meşru indirmeler sunan web sitelerinin kimliğine bürünerek BATLOADER’ı yaymak için arama motoru optimizasyonu (SEO) zehirlenmesini kullandığını keşfetti.
Bir kullanıcı Bing veya Google’da meşru bir yazılım uygulaması aradığında, gerçek yazılım sağlayıcısının açılış sayfalarını taklit eden bir açılış sayfasında ms-app yükleyici protokolünü kullanan kötü niyetli yükleyicilere giden bağlantıları görebilir. Öne çıkan bir sosyal mühendislik tekniği, iyi bilinen, meşru yazılımların sahtekarlığını ve taklit edilmesini içerir.
Microsoft, Storm-1113’ün EugenLoader’ının Zoom uygulamasına benzeyen arama reklamları kullanılarak dağıtıldığını fark etti. EugenLoader adlı kötü amaçlı bir MSIX yükleyicisi, güvenliği ihlal edilmiş bir web sitesine erişildiğinde kullanıcı tarafından bir cihaza indiriliyor ve daha sonra diğer yükleri dağıtmak için kullanılıyor.
Bu veriler, Lumma hırsızı, Sectop RAT, Gozi, Redline hırsızı, IcedID, Smoke Loader ve NetSupport Manager (NetSupport RAT olarak da bilinir) gibi daha önce görülen kötü amaçlı yazılım yüklemelerini içerebilir.
Kötü amaçlı MSIX paket kurulumları aracılığıyla dağıtılan Storm-1113’ün EugenLoader’ı, Sangria Tempest tarafından kullanılıyor. Daha sonra Sangria Tempest, aktörün 2014’ten beri kullandığı ve daha sonra Gracewire kötü amaçlı yazılım implantasyonunu yayan bir arka kapı olan Carbanak’ı dağıtıyor.
Mali güdümlü siber suçlular Sangria Tempest (eski adıyla ELBRUS, bazen Carbon Spider, FIN7 olarak takip ediliyordu) çoğunlukla Clop gibi fidye yazılımı dağıtımlarına veya sıklıkla veri hırsızlığıyla sonuçlanan izinsiz girişler gerçekleştirdikten sonra hedefli gasplara odaklanıyor.
Fırtına-1674 Sahte açılış sayfalarına sahip mesajlar göndermek için Teams’i kullandı. Açılış sayfaları birçok işletmenin yanı sıra SharePoint ve OneDrive gibi Microsoft hizmetlerini de taklit eder. Tehdit aktörünün oluşturduğu kiracılar, toplantının sohbet özelliğini kullanarak toplantılar düzenleyebilir ve olası mağdurlarla iletişim kurabilir.
Öneri
- Kimlik avına karşı dayanıklı kullanıcı kimlik doğrulama teknikleri geliştirin ve uygulayın.
- Kimlik avına karşı dayanıklı kimlik doğrulaması gerektirmek için Koşullu Erişim kimlik doğrulama gücünü uygulayın.
- Microsoft Teams kullanıcılarını, harici varlıklardan gelen iletişim girişimlerinde ‘Harici’ etiketlemeyi doğrulama konusunda eğitin.
- Kullanıcıları Microsoft Edge’i ve Microsoft Defender SmartScreen’i destekleyen diğer web tarayıcılarını kullanmaya teşvik edin.
- Tıklandığında bağlantıları yeniden kontrol etmek için Office 365 için Microsoft Defender’ı yapılandırın.
- Yaygın saldırı tekniklerini önlemek için saldırı yüzeyi azaltma kurallarını açın.