NetSupport RAT, Kurbanın Sistemine Kötü Amaçlı Yazılım Dağıtmak için Sosyal Mühendislik Araç Setlerini Kullanıyor


NetSupport RAT, Sosyal Mühendislik Araç Setlerini Kullanıyor

Cyble Research & Intelligence Labs, NetSupport RAT’ı sunmak için Fake Browser Update, SocGholish’i kullanan tehdit aktörlerini fark etti.

SocGholish, 2017’den beri aktiftir. “Soc”un, bir kurbanın sistemine kötü amaçlı yazılım dağıtmak için yazılım güncellemeleri gibi görünen sosyal mühendislik araç setlerinin kullanımını ifade ettiği bir JavaScript kötü amaçlı yazılım çerçevesidir.

Araştırmacılar, bu kötü amaçlı yazılım kampanyasının, Chrome/Firefox, Flash Player ve Microsoft Teams gibi tarayıcı ve program güncellemelerini taklit eden çeşitli ‘Sosyal Mühendislik’ temaları kullandığına dikkat çekti.

Drive-By-Download Mekanizması

Tehdit aktörlerinin, kullanıcıları bir sürücüden indirme mekanizması kullanarak bir Chrome güncellemesine yönlendirdiği iddia ediliyor. Saldırganlar kötü niyetli bir web sitesi barındırır (site, son kullanıcıları kritik tarayıcı güncellemeleriyle cezbetmek için içerik görüntüler), kötü amaçlı yazılım içeren bir arşiv dosyasını indirmek için tek tek indirme mekanizması uygular.

DÖRT
https://i0.wp.com/blog.cyble.com/wp-content/uploads/2022/09/ Figure-1-Infection-chain-of-SocGholish.jpg?resize=982%2C250&ssl=1
SocGholish’in enfeksiyon zinciri

İndirildikten sonra tehdit aktörü, Cobalt Strike çerçevesi, fidye yazılımı ve diğerleri gibi bir dizi truva atı ve kötü amaçlı yazılım saldırısı gerçekleştirdi.

https://i0.wp.com/blog.cyble.com/wp-content/uploads/2022/09/ Figure-2-%E2%80%93-Fake-update-page-of-Chrome-browser.jpg ?resize=908%2C772&ssl=1
Chrome tarayıcının sahte güncelleme sayfası

Sahte sayfada “Güncelle” butonuna tıklandığında “Chrome.Updаte.zip” isimli bir arşiv dosyası indirilir ve “İndirilenler” klasörüne kaydedilir. Ayrıca, indirilen zip arşiv dosyası, “AutoUpdater.js” adlı oldukça karmaşık bir JavaScript dosyası içerir.

Araştırmacılar, JavaScript dosyasının yürütülmesinden sonra, uzak sunucudan ek bir PowerShell betiği indirmek ve yürütmek için bir PowerShell komutu başlattığını söylüyor.

https://i0.wp.com/blog.cyble.com/wp-content/uploads/2022/09/ Figure-4-PowerShell-Script-to-drop-NetSupport-RAT.jpg?resize=988%2C432&ssl= 1
NetSupport RAT’ı bırakmak için PowerShell Komut Dosyası

NetSupport Manager, yöneticilere kullanıcının bilgisayarlarına uzaktan erişim sağlayan, meşru nedenlerle kullanılan, ticari olarak satılan bir RAT’dir (Uzaktan Yönetim Aracı). Ancak TA’lar, uzaktan erişim kullanarak kurbanları hedeflemek için birincil araç olarak NetSupport Manager’ı kullanır.

https://i0.wp.com/blog.cyble.com/wp-content/uploads/2022/09/ Figure-5-NetSupport-RAT-malware-package-dropped-under-the-AppData-directory.jpg? yeniden boyutlandır=958%2C461&ssl=1

NetSupport RAT kötü amaçlı yazılım paketi %AppData% dizininin altına düştü

İndirilen içeriğin herhangi bir şüpheli siteden değil, meşru bir kaynaktan geldiğini doğrulamak her zaman faydalıdır.

Öneriler

  • Güvenilmeyen bağlantıları ve e-posta eklerini, orijinalliklerini doğrulamadan açmaktan kaçının.
  • Çalışanları, kimlik avı/güvenilmeyen URL’ler gibi tehditlerden korunma konusunda eğitin.
  • Bilinmeyen web sitelerinden dosya indirmekten kaçının.
  • Güçlü parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamasını zorunlu kılın.
  • Bilgisayarınızda, mobil cihazınızda ve diğer bağlı cihazlarınızda otomatik yazılım güncelleme özelliğini açın.
  • PC, dizüstü bilgisayar ve mobil cihazlar dahil olmak üzere bağlı cihazlarınızda tanınmış bir virüsten koruma ve internet güvenliği yazılım paketi kullanın.
  • Torrent/Warez gibi kötü amaçlı yazılımı yayabilecek URL’leri engelleyin.
  • Kötü amaçlı yazılım veya TA’lar tarafından veri sızmasını engellemek için işaretçiyi ağ düzeyinde izleyin.
  • Çalışanların sistemlerinde Veri Kaybını Önleme (DLP) Çözümlerini etkinleştirin.

Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap



Source link