DarkGate uzaktan erişim Truva Atı’nın (RAT) yeni bir saldırı vektörü var: Bir tehdit aktörü, cihazına erişim sağlamak için sesli arama yoluyla bir Microsoft Teams kullanıcısını hedef aldı.
Saldırı, daha önce kullanılarak yayılan RAT’ı yaymaya yönelik diğer yöntemlere ekleniyor. Kimlik avı e-postalarıkötü amaçlı reklamcılık, gasp Skype ve Teams mesajlarıAraştırmacılar, arama motoru optimizasyonu (SEO) zehirlenmesi olduğunu söyledi.
Trend Micro’daki araştırmacılar sesli kimlik avını keşfettiler veya dileklerSaldırganın başlangıçta kullanıcının cihazına erişim sağlamak için bir Microsoft uzaktan destek uygulaması yüklemeye çalıştığı saldırı, son blog yazısı. Bu başarısız olsa da, siber saldırganlar sosyal mühendisliği kullanarak kurbanı uzaktan erişim için AnyDesk aracını indirmeye ikna etti ve sonunda bunu başardılar.
Trend Micro’ya göre saldırgan, biri DarkGate olan bir komuta ve kontrol (C2) sunucusuyla kurulan bağlantı aracılığıyla kurbanın makinesine çok sayıda “şüpheli dosya” yükledi. Her zamanki gibi bir AutoIt betiği aracılığıyla dağıtılan RAT, kullanıcının makinesinin uzaktan kontrol edilmesini sağladı, kötü amaçlı komutlar yürüttü, sistem bilgilerini topladı ve bir komuta ve kontrol (C2) sunucusuna bağlandı.
Çok Aşamalı Vishing Siber Saldırısı
Çok aşamalı saldırı, kurbanın gelen kutusuna gönderilen binlerce kimlik avı e-postası seli ile daha tipik bir DarkGate yöntemiyle başladı. E-postaların ardından, teknik destek için olduğu iddia edilen bir Microsoft Teams çağrısı geldi ve bu da vishing saldırısını başlattı.
Arayan kişi, mağdurun şirketinin yardıma ihtiyacı olan harici bir tedarikçisinin çalışanı olduğunu iddia etti ve mağdura Microsoft Uzaktan Destek uygulamasını indirmesi talimatını verdi.
Trend Micro araştırmacıları Catherine Loveria, Jovit Samaniego ve Gabriel Nicoleta gönderide “Ancak Microsoft Store aracılığıyla kurulum başarısız oldu” diye yazdı. “Saldırgan daha sonra kurbana tarayıcı aracılığıyla AnyDesk’i indirmesi ve kullanıcıyı kimlik bilgilerini AnyDesk’e girmesi için yönlendirmesi talimatını verdi.”
Saldırgan, AnyDesk’i kullanarak C2 ile bir iletişim kanalı kurdu ve çeşitli kötü amaçlı komut dosyaları başlattı ve sonunda, saldırganların gizleme ve savunmadan kaçma için tercih ettiği Autoit meşru Windows otomasyonu ve komut dosyası oluşturma aracını kullanarak DarkGate’i bırakmak için bir PowerShell komutu başlattı. Saldırı, kurulumdan sonra kalıcılık sağlamak için dosyaları ve bir kayıt defteri girdisini de yükledi.
DarkGate Kötü Amaçlı Yazılımını Yaymak İçin Başka Bir Kanal
Her ne kadar saldırı, kurbanın makinesinden veri sızmadan önce durdurulsa da, DarkGate aktörlerinin korkunç RAT’ı yaymak için başka bir araç kullandığını gösteriyor. uzun liste Araştırmacılar, daha önce kullanılan teslimat yöntemlerinden biri olduğunu söyledi.
DarkGate, en az 2017’den beri dünya çapındaki kullanıcıları hedeflemek için kullanılıyor ve çok sayıda farklı ve kötü amaçlı işlevi entegre ediyor. Yetenekleri arasında sistem bilgilerini toplamak, ağları haritalamak ve dizin geçişi yapmak için komutları yürütmenin yanı sıra Uzak Masaüstü Protokolü (RDP), gizli sanal ağ bilişimi, AnyDesk ve diğer uzaktan erişim yazılımlarını başlatma yer alır.
DarkGate ayrıca kripto para madenciliğini, keylogging’i, ayrıcalık yükseltmeyi ve tarayıcılardan bilgi çalmayı destekleyen özelliklere de sahiptir ve hatta aşağıdakiler dahil ek yükler taşıdığı da bilinmektedir: diğer RAT’lar Remcos gibi.
Gelişmiş Vishing Saldırılarına Karşı Nasıl Korunulur?
Vurucu saldırılar Saldırganlar bile psikolojik olarak daha karmaşık hale geliyor fiziksel korkutmaya başvurmak mağdurları taleplere uymaya zorlamak. Çalışanları tehlike işaretleri konusunda eğitmek arzulu saldırıBu saldırılar arttıkça, en son taktikleri takip etmek de dahil olmak üzere, giderek daha önemli hale geliyor.
Araştırmacılar, “İyi bilgilendirilmiş çalışanların sosyal mühendislik saldırılarına kurban gitme olasılığı daha düşük, bu da kuruluşun genel güvenlik duruşunu güçlendiriyor” diye yazdı.
Araştırmacılar, kuruluşların ayrıca “kurumsal sistemlere uzaktan erişim izni verilmeden önce satıcı üyeliğine ilişkin herhangi bir iddianın doğrudan doğrulanmasını sağlamak için” üçüncü taraf teknik destek sağlayıcılarını kapsamlı bir şekilde incelemesi gerektiğini “belirtti. Ayrıca, değerlendirmek ve onaylamak için bulut inceleme süreçleri oluşturmaları gerekiyor” AnyDesk gibi uzaktan erişim araçları, kullanıma sunulmadan önce güvenlik uyumluluğunun ve satıcı itibarının değerlendirilmesi için kullanılır.
Araştırmacılar, onaylı uzaktan erişim araçlarını beyaz listeye almanın ve doğrulanmamış uygulamaları engellemenin yanı sıra uzaktan erişim araçlarına çok faktörlü kimlik doğrulamayı (MFA) entegre etmenin “dahili makineler üzerinde kontrol kazanmak için kötü amaçlı araçların kullanılması riskini” de azalttığını yazdı.