Yakın zamanda keşfedilen Royal fidye yazılımı da dahil olmak üzere, çeşitli güvenlik ihlali sonrası yükleri dağıtmak için kampanyalarından birinde Google Ads’ü kullanan gelişmekte olan bir tehdit etkinliği kümesi bulundu.
Güncellenen kötü amaçlı yazılım dağıtım yöntemini Ekim 2022’nin sonlarında tespit eden Microsoft, grubu şu adla izliyor: DEV-0569.
Microsoft Güvenlik Tehdit İstihbaratı ekibi bir analizde, “Gözlemlenen DEV-0569 saldırıları, yeni keşif tekniklerinin düzenli olarak dahil edilmesi, savunmadan kaçınma ve çeşitli uzlaşma sonrası yüklerin yanı sıra artan fidye yazılımı kolaylaştırmasıyla sürekli bir yenilik modeli gösteriyor” dedi.
Tehdit aktörünün, şüphelenmeyen kurbanları Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams ve Zoom gibi meşru uygulamalar için yazılım yükleyicileri gibi görünen kötü amaçlı yazılım indirme bağlantılarına yönlendirmek için kötü amaçlı reklamcılıktan yararlandığı biliniyor.
BATLOADER olarak adlandırılan bir tür olan kötü amaçlı yazılım indirici, sonraki aşama yüklerini dağıtmak için bir kanal işlevi gören bir damlalıktır. ZLoader adlı başka bir kötü amaçlı yazılımla çakışmaları paylaştığı gözlemlendi.
BATLOADER’ın eSentire ve VMware tarafından yakın zamanda yapılan bir analizi, kötü amaçlı yazılımın gizliliği ve kalıcılığının yanı sıra, kullanıcıları güvenliği ihlal edilmiş web sitelerinden veya saldırgan tarafından oluşturulan alanlardan kötü amaçlı yazılımı indirmeye çekmek için arama motoru optimizasyonu (SEO) zehirlenmesi kullanımına dikkat çekti.
Alternatif olarak, kimlik avı bağlantıları spam e-postalar, sahte forum sayfaları, blog yorumları ve hatta hedeflenen kuruluşların web sitelerinde bulunan iletişim formları aracılığıyla paylaşılır.
Teknoloji devi, “DEV-0569, PowerShell ve toplu betikleri kullanarak çeşitli bulaşma zincirleri kullandı ve bu da sonuçta bilgi hırsızları gibi kötü amaçlı yazılım yüklerinin indirilmesine veya ağda kalıcılık için kullanılan meşru bir uzaktan yönetim aracına yol açtı” dedi.
“Yönetim aracı, fidye yazılımlarının hazırlanması ve yayılması için bir erişim noktası da olabilir.”
Ayrıca, yükseltilmiş ayrıcalıklara sahip programları başlatmak ve antivirüs çözümlerini devre dışı bırakmak için tasarlanmış kayıt defteri değerleri ekleyerek savunmaları zayıflatmak için NSudo olarak bilinen bir araç da kullanılır.
Şirket, BATLOADER’ı sunmak için Google Ads’in kullanılmasının, DEV-0569’un dağıtım vektörlerinin çeşitlendirilmesine işaret ederek, daha fazla hedefe ulaşmasını ve kötü amaçlı yazılım yüklerini dağıtmasını sağladığını belirtti.
Emotet, IcedID, Qakbot gibi kötü amaçlı yazılımlara katılarak grubu diğer fidye yazılımı operasyonları için ilk erişim aracısı olarak hizmet edecek şekilde konumlandırır.
Microsoft, “DEV-0569’un kimlik avı düzeni yasal hizmetleri kötüye kullandığından, kuruluşlar ayrıca şüpheli anahtar kelimeleri yakalamak veya IP aralıkları ve etki alanı düzeyinde izin verilen listeler gibi geniş istisnaları incelemek için posta akışı kurallarından yararlanabilir.”