İran bağlantılı APT Grubu Muddywater’a atfedilen sofistike bir mızrak aktı kampanyası, Avrupa, Kuzey Amerika, Güney Amerika, Afrika ve Asya’daki CFO’ları ve finans yöneticilerini aktif olarak tehlikeye atıyor.
Saldırganlar, Rothschild & Co’dan işe alım görevlilerini taklit ederek, tespit etmek ve meşruiyetten kaçınmak için özel matematik tabanlı Captcha zorluklarını içeren Firebase tarafından barındırılan kimlik avı sayfalarını konuşlandırıyor.
Bu cazibeler kurbanları, çok aşamalı bir enfeksiyon zinciri başlatan VBS komut dosyaları içeren kötü niyetli zip arşivlerini indirmeye yönlendirir.
Gelişen kimlik avı taktikleri
Yükler, kalıcı kontrol oluşturmak için Netbird ve OpenSSH gibi meşru uzaktan erişim araçlarını kötüye kullanır, bu da uzun süreli sistem sızması için uzak masaüstü protokolü (RDP) erişimini ve otomatik planlanmış görevleri sağlar.
Araştırmalar, IP 192.3.95.152’den 198.46.178.135’e, / iş / ve / tarama / Firebase projeleri gibi değişen yük yolları ile uyarlanabilir kaçınma tekniklerini gösteren altyapı kaymalarını ortaya koymaktadır.
Saldırı vektörü, hedefleri basit bir aritmetik kapı üzerinden açılan kriptojs şifreli bir yönlendirme, kullanıcıları ikincil Web.app sitelerini sahte Google Drive arabirimlerine barındıran bir CryptoJS şifreli yönlendirme gibi Googl-6c11f.firebaseapp.com gibi kimlik avı alanlarına yönlendiren sosyal olarak tasarlanmış e-postalarla başlar.
Etkileşim üzerine kurbanlar, PDF’ler olarak gizlenmiş zip dosyalarını alır ve saldırgan kontrollü sunuculardan ikincil yükler getiren VBS indiricilerini yerleştirir.
Bu komut dosyaları sessizce Netbird ve OpenSsh yükleyin, otomatik başlatma hizmetlerini yapılandırın ve “User / BS@202122” gibi kimlik bilgileriyle gizli yerel yönetici hesapları oluşturur.
Kalıcılık, parola ekstrasyonunu devre dışı bırakmak için kayıt defteri değişiklikleri, güvenlik duvarı ayarları ile RDP etkinleştirmesi ve arka kapıyı gizlemek için masaüstü kısayollarını kaldırırken NetBird Boot’u yeniden başlatan planlanmış görevler ile güçlendirilir.
CIS.VBS ve TRM.ZIP dahil olmak üzere eserlerin statik analizi, ilgili damlalarlarda atteraagint.exe’nin kötüye kullanılması gibi önceki çamurlu su operasyonlarıyla örtüşen tutarlı taktikler, teknikler ve prosedürler (TTP’ler) gösterir.
Atıf güçlendirildi
Fransızca matematik zorlukları ve AES şifreli yönlendirmeler gibi ayırt edici desenler üzerinde döndürme, bulut-233f9.web.app ve cloud-ed980.firebaseapp.com gibi ek ateş tabanı alanlarını, hepsi müşteri tarafı şifrelemeleri için arabulu paramparlıklarla benzer kimlik avı kitleri kullanıyor.
Bunlar, my1cloudlive.com ve web-16fe.app dahil olmak üzere kötü niyetli yönlendirmelere yol açarak kampanyanın kapsamını genişletir.
Maltrail ve Virustotal dahil olmak üzere tehdit istihbarat beslemeleri ile çapraz referans, altyapıyı, özellikle Gophish araç setlerini barındıran IPS ve taşıma yük yapılarını yansıtan açık dizinler aracılığıyla Muddywater’a bağlar.
Örneğin, My-SharePoint-inc.com, Mart 2024’ten bu yana belgelenmiş çamurlu su kampanyalarıyla hizalanan Ateraagent’i konuşlandıran VBS damlalarını açığa çıkardı.
Bu evrim, aynı Netbird kurulum tuşları (E48E4A70-4CF4-4A77-946B-C8E50A60855A) ve servis adları gibi temel öğeleri korurken, komut ve kontrol (C2) ana bilgisayarlarını değiştirme, algılamaya uyum sağlayan becerikli bir düşman önermektedir.
Azaltma, ağ çevrelerinde ilişkili IOC’lerin engellenmesini, uygulama izin verme yoluyla denetim aracı kurulumlarını ve VBS yürütme, şüpheli hesap oluşturma ve hizmet anomalileri için uç nokta algılama kurallarının dağıtılmasını gerektirir.
Huntsql gibi araçlar kullanarak proaktif altyapı eşlemesi bu tehditleri erken ortaya çıkarabilir ve veri açığa çıkmasını veya uzatma uzlaşmasını önleyebilir.
Muddywater yöntemlerini geliştirdiğinden, kuruluşlar hedefli müdahalelerde meşru yazılımın kötüye kullanılmasına karşı koymak için gelişmiş kimlik avı savunmalarına ve kum havuzuna öncelik vermelidir.
Uzlaşma temel göstergeleri (IOCS)
| Tip | Değer | Tanım |
|---|---|---|
| İhtisas | googl-6c11f.firebaseapp.com | Kimlik avı sayfası |
| IP adresi | 198.46.178.135 | C2 Hosting |
| Dosya | F-144822.vbs | VBS yükü |
| Hash (MD5) | 0AA883CD659EF957FDED251B70C341 | cis.vbs |
| Kimlik bilgisi | Kullanıcı / BS@202122 | Yönetici hesabı |
| Kurulum anahtarı | E48E4A70-4CF4-4A77-946B-C8E50A60855A | Netbird Anahtar |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!