Yeni bir kimlik avı kampanyası, Nim programlama dilinde yazılmış bir arka kapı sunmak için sahte Microsoft Word belgelerinden yem olarak yararlanıyor.
Netskope araştırmacıları Ghanashyam Satpathy ve Jan Michael Alcantara, “Alışılmadık programlama dillerinde yazılan kötü amaçlı yazılımlar, araştırmacıların ve tersine mühendislerin bilgisizliğinin araştırmalarını engelleyebilmesi nedeniyle güvenlik topluluğunu dezavantajlı duruma sokuyor.” dedi.
Nim tabanlı kötü amaçlı yazılım, tehdit ortamında nadir görülen bir durum olsa da, saldırganların dili kullanarak sıfırdan özel araçlar geliştirmeye devam etmesi veya zararlı programlarının mevcut sürümlerini ona taşıması nedeniyle bu durum son yıllarda yavaş yavaş değişiyor.
Bu, NimzaLoader, Nimbda, IceXLoader gibi yükleyicilerin yanı sıra Dark Power ve Kanti isimleri altında takip edilen fidye yazılımı ailelerinde de kanıtlanmıştır.
Netskope tarafından belgelenen saldırı zinciri, açıldığında alıcıyı Nim kötü amaçlı yazılımının dağıtımını etkinleştirmek için makroları etkinleştirmeye yönlendiren bir Word belgesi eki içeren bir kimlik avı e-postasıyla başlıyor. E-postayı gönderen kişi kendisini Nepal hükümet yetkilisi olarak tanıtıyor.
İmplant, başlatıldıktan sonra, virüs bulaşmış ana bilgisayarda bilinen analiz araçlarının varlığını belirlemek için çalışan süreçleri numaralandırmaktan ve bir tane bulması halinde kendisini derhal sonlandırmaktan sorumludur.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Aksi takdirde arka kapı, Ulusal Bilgi Teknolojileri Merkezi (NITC) de dahil olmak üzere Nepal’deki bir hükümet alanını taklit eden uzak bir sunucuyla bağlantı kurar ve daha fazla talimat bekler. Komuta ve kontrol (C2) sunucularına artık erişilemiyor –
- posta[.]kalıba dökmek[.]hükümet[.]kuruluş
- biraz[.]hükümet[.]kuruluş
- mx1[.]Nepal[.]hükümet[.]kuruluş
- DNS[.]hükümet[.]kuruluş
Araştırmacılar, “Nim, statik olarak yazılmış, derlenmiş bir programlama dilidir” dedi. “Bilinen söz diziminin yanı sıra, çapraz derleme özellikleri, saldırganların tek bir kötü amaçlı yazılım çeşidi yazmasına ve farklı platformları hedef alacak şekilde çapraz derlemesine olanak tanıyor.”
Açıklama, Cyble’ın, aktör kontrollü bir Telegram kanalı aracılığıyla değerli verileri toplamak ve sızdırmak için tasarlanan Editbot Stealer adlı yeni Python tabanlı bir hırsız kötü amaçlı yazılım sunmak için sosyal medya platformlarındaki mesajlardan yararlanan bir sosyal mühendislik kampanyasını ortaya çıkarmasıyla geldi.
Tehdit aktörleri yeni kötü amaçlı yazılım türlerini denese de, e-posta yoluyla DarkGate ve NetSupport RAT gibi bilinen kötü amaçlı yazılımları dağıtan kimlik avı kampanyaları ve sahte güncelleme tuzakları (aka RogueRaticate) içeren, özellikle de BattleRoyal adlı bir kümeden gelen, güvenliği ihlal edilmiş web sitelerine dağıtıldığı da gözlemlendi.
Kurumsal güvenlik firması Proofpoint, bu ayın başlarında NetSupport RAT’a geçmeden önce Eylül ve Kasım 2023 arasında DarkGate kötü amaçlı yazılımını kullanan en az 20 kampanya tespit ettiğini söyledi.
Ekim 2023’ün başlarında tanımlanan bir saldırı dizisi, kriterlerini karşılayan kurbanları filtrelemek ve CVE-2023’ten yararlanan bir yükü barındıran, aktör tarafından işletilen bir alana yönlendirmek için iki trafik dağıtım sisteminin (TDS) (404 TDS ve Keitaro TDS) zincirlenmesiyle özellikle dikkat çekiyor. 36025 (CVSS puanı: 8,8), Kasım 2023’te Microsoft tarafından giderilen yüksek önem dereceli bir Windows SmartScreen güvenlik atlaması.
Bu, BattleRoyal’in bu güvenlik açığını teknoloji devi tarafından kamuya açıklanmadan bir ay önce sıfır gün olarak silah haline getirdiği anlamına geliyor.
DarkGate, bilgi çalmak ve ek kötü amaçlı yazılım yüklerini indirmek için tasarlanmışken, gerçek bir uzaktan yönetim aracı olarak başlayan NetSupport RAT, kötü niyetli aktörlerin sistemlere sızmak ve sınırsız uzaktan kontrol oluşturmak için kullandığı güçlü bir silaha dönüştü.
“Siber suç tehdit aktörleri [are] Proofpoint, kötü amaçlı yazılım dağıtımını mümkün kılmak için çeşitli TDS araçlarının kullanımı da dahil olmak üzere yeni, çeşitli ve giderek daha yaratıcı olan saldırı zincirlerini benimsemek” dedi.
“Ek olarak, hem e-posta hem de sahte güncelleme tuzaklarının kullanılması, aktörün, kullanıcıların son yükü yüklemesini sağlamak amacıyla birden fazla türde sosyal mühendislik tekniği kullandığını gösteriyor.”
DarkGate aynı zamanda AsyncRAT, NetSupport, IcedID, PikaBot ve QakBot (diğer adıyla Qbot) gibi çeşitli kötü amaçlı yazılımları yaydığı bilinen TA571 ve TA577 gibi diğer tehdit aktörleri tarafından da kullanılmaya başlandı.
Kıdemli tehdit istihbarat analisti Selena Larson, “Örneğin, en önde gelen Qbot dağıtımcılarından biri olan TA577, DarkGate kötü amaçlı yazılımını sunmak için Eylül ayında e-posta tehdit verilerine geri döndü ve o zamandan beri genellikle on binlerce mesaj içeren kampanyalarda PikaBot sunduğu gözlemlendi.” Proofpoint’te The Hacker News’e söyledi.