OnTinue’un Siber Savunma Merkezi (CDC) yakın zamanda ne kadar basit olduğunu gösteren bir olayı araştırdı vishing çağrısı tam bir ortam uzlaşmasına dönüşebilir. Saldırı, sosyal mühendisliği hızlı yardım, imzalı ikili dosyalar ve erişim elde etmek, kalıcılığı korumak ve tespitten kaçınmak için kötü amaçlı komut dosyaları gibi meşru araçlarla birleştirdi.
Bir takım mesajı ve telefon görüşmesi
Saldırı bir Microsoft takımları Meşru bir harici kullanıcıya benzeyen şeyden gönderilen mesaj. Bunun yanı sıra, güven oluşturmak ve hedefi bir PowerShell komutu yürütmeye yönlendirmek için tasarlanmış bir vishing çağrısı geldi. Bu komut, daha büyük bir zincirin ilk aşaması olan bir yük indirdi. Hızlı YardımWindows’a yerleştirilmiş meşru bir uzaktan destek aracı, daha sonra saldırgan tarafından uzaktan erişim elde etmek için kullanıldı.
Kullanılan Araçlar: Meşru, Güvenilir ve Kötüye Kullanılan
İçeri girdikten sonra, saldırgan imzalı bir ikili bıraktı, TeamViewer.exegizli bir klasöre. Bu yürütülebilir, kötü niyetli bir DLL (TV.dll), normal sistem aktivitesi ile karışmaya yardımcı olur. Bu tür bir yan yükleme yeni değildir, ancak özellikle imzalı ve yaygın güvenilir uygulamalar kullanılırken etkili olmaya devam etmektedir.
Şirkete göre Blog yazısı Hackread.com ile Salı günü yayınlanmasından önce paylaşılan saldırgan, sistemin yeniden başlatıldığında kötü amaçlı yazılımın otomatik olarak tekrar çalışacağından emin olmak için başlangıç klasöründe bir kısayol dosyası kurdu. Bu arada, 90 güne kadar erişimi korumak için dosyaları sessizce aktarmak için Bits Jobs (arka plan akıllı transfer hizmeti) kullandılar.
İkinci aşamada JavaScript tabanlı bir arka kapı vardı (index.js) Node.js. Bu, saldırgana komut yürütme özellikleri ve sabit kodlanmış kimlik bilgileri ile birlikte bir soket bağlantısı aracılığıyla tam komut ve kontrol erişimini verdi.
CDC, ilişkilendirmeyi yüksek güvenle teyit edemese de, bu saldırıda gözlemlenen taktikler ile ilişkili olanlara çok benzemektedir. Storm-1811daha önce Microsoft tarafından tanımlanmış bir grup.
Benzerlikler, uzaktan erişim için hızlı yardım kullanımı, imzalı ikili dosyalar aracılığıyla kötü niyetli DLL’lerin kenar yüklenmesi, Microsoft takımlarını bir giriş noktası olarak sömürmek ve güvenmektir. toprağı yaşama Yerleşik Windows araçlarını kullanan teknikler. Bu örtüşmeler her ikisinin de son bulgularıyla uyumlu Microsoft Ve Sophosuzak destek yazılımının kötüye kullanılmasını içeren benzer vishing güdümlü kampanyaları belgeleyen.
Sosyal Mühendislik: Kök Nedeni
Saldırının başarısı bir şeye bağlıydı: Sosyal Mühendislik. İlk Vishing çağrısı kapıyı açan anahtardı. OnTinue’nun 2H Tehdit İstihbarat Raporu Zaten vurgulanmış Çeyrek 2025’teki vishing saldırılarında% 1633’lük bir artış ve bu olay bu sayıların sadece istatistiklerden daha fazla olduğuna dair kanıttır.
Jason omzumScottsdale merkezli bir sertifika yönetim sağlayıcısı olan Sectigo’daki kıdemli adam, hackread.com ile bakış açısını paylaştı ve “Bu saldırı, imzalı ikili kayma savunmalarına yol açan bir ekip vishing girişimiyle başladı. Saldırgan, standart uzaktan desteği sert bir giriş noktasına dönüştüren güvenilir bir sürece yönlendirdi.”
“Savunucular, takımların mesajlarındaki PowerShell komutlarını, beklenmedik hızlı yardım kullanımı ve alışılmadık yollardan çalışan TeamViewer.exe gibi imzalı ikili dosyaları izlemelidir. TV.dll Beklenmedik bir şekilde yüklemek de kırmızı bayraklardır ”diye ekledi.
Bu dava, tehdit aktörlerinin her zaman ihtiyaç duymadığını hatırlatıyor sıfır gün veya kötü amaçlı yazılım. Kullanıcılar alışılmadık seslere ve mesajlara güvendiğinde ve tanıdık araçlar kötüye kullanıldığında, saldırganlar sistemde zaten mevcut olanları kullanarak ciddi hasar verebilirler.