Tehdit aktörleri, diğer şeylerin yanı sıra bilgisayarlara ve ağlara yetkisiz erişim sağlamak, sistemleri tam olarak kontrol etmek, hassas verileri çıkarmak ve kötü amaçlı yazılım yerleştirmek için Uzak Masaüstü Protokolünü (RDP) kullanır.
ASEC’deki siber güvenlik araştırmacıları yakın zamanda MultiRDP kötü amaçlı yazılımının birden fazla saldırganın belleğe yama uygulayarak RDP’ye bağlanmasına izin verdiğini keşfetti.
AhnLab Güvenlik İstihbarat Merkezi (ASEC), savunma yüklenicileri, otomobil parçası üreticileri ve yarı iletken şirketleri de dahil olmak üzere Güney Koreli işletmelere yönelik SmallTiger Kötü Amaçlı Yazılım saldırılarına yanıt veriyor.
MultiRDP Kötü Amaçlı Yazılım
Saldırılar ilk olarak Kasım 2023’te keşfedildi ve Kimsuky grubuyla ilişkili gibi görünüyordu, ancak yanal hareket için yazılım güncelleyicileri kullanmaları ve Andariel’in DurianBeacon arka kapısını kurmaları bakımından farklıydı.
Şubat 2024’te son yükü SmallTiger indiricisiyle değiştirerek yeniden başladılar.
Bilinen kötü amaçlı yazılım türlerinin kullanılmasına rağmen, kötü amaçlı yazılım dağıtımı için SmallTiger’ın kullanıldığı bu devam eden kampanyalar, tehdit aktörlerinin Güney Kore endüstrilerine yönelik taktiklerini nasıl değiştirdiğini ortaya koyuyor.
Kasım 2023’te araştırmacılar, Kimsuky ve Andariel gruplarının, birden fazla RDP bağlantısını ve Metasploit Meterpreter arka kapısını etkinleştirmek için MultiRDP kötü amaçlı yazılımını kullanan saldırılarda taktikler sergilediğini keşfetti.
Tehdit aktörü, yatay hareket etmek için şifrelenmiş bir DLL yükleyen yazılım güncelleme programları aracılığıyla “mozillasvcone” olarak bilinen bir hizmeti devre dışı bıraktı.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Bu DLL, daha önce Andariel’e atfedilen DurianBeacon RAT’ın güncellenmiş bir sürümünün konuşlandırıldığı ek dosyaların şifresini çözdü ve doğrudan bellekte çalıştırdı.
Bu tehdit aktörlerinin hedeflerine karşı kullandıkları gelişen teknikler, bilinmeyen dağıtım mekanizmalarını tanıdık kötü amaçlı yazılım aileleriyle birleştiren çok aşamalı bulaşma süreciyle kanıtlanıyor.
DurianBeacon RAT organizasyonu, “Yeni Go”, mobilite, kendi kendini silme özellikleri ve SOCKS proxy ile birlikte dahili Yapı Kontrolü için ilk erişimin yayılmasından sonra SSL üzerinden çalışan DurianBeacon RAT’ı geliştirdi.
Şubat 2024’ten bu yana aynı tehdit aktörü, sonraki veriyi belleğe indirmek ve yüklemek için SmallTiger olarak tanımlanan kötü amaçlı yazılım indirici bir güvenlik açığından yararlanan farklı bir yazılım kullanıyor.
Kimlik bilgisi hırsızlığı aynı zamanda Mimikatz ve ProcDump kullanımına da atfedildi.
8 Nisan 2024’te, öncekilerden farklı olan başka bir SmallTiger, C2’den JavaScript indirdi ve onu çalıştırmak için alternatif bir veri akışından yararlanarak veri yükünü oluşturdu.
GitHub’un Mayıs 2024’te SmallTiger dağıtımına ev sahipliği yaptığını belirtmekte fayda var.
Tehdit aktörü, medyaya izinsiz girişin yanı sıra DurianBeacon ve SmallTiger gibi bilinen kötü amaçlı yazılımları aktif olarak kullansa da, dağıtım mekanizmalarında ve yeni özelliklerde değişikliklere yol açarak tehditleri izleme ve daha yeni savunma mekanizmaları uygulamaya yönelik ısrarlı bir ihtiyacı ortaya koydu.
ASEC, Kasım 2023’te SmallTiger’ın dağıtımını yapan Güney Koreli şirketlere yönelik saldırıları doğruladı.
Bilinmeyen e-posta eklerine ve indirilen yürütülebilir dosyalara karşı SmallTiger içerebileceğinden dikkatli olunmalıdır.
Şirketler güvenlik izlemelerini iyileştirmeli ve güvenlik açığı yamalarını uygulamalıdır. Kötü amaçlı yazılım bulaşmasını önlemek için kullanıcılar en son işletim sistemini, tarayıcıyı ve V3 yamalarını yüklediklerinden emin olmalıdır.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo