Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Bilgisayar Korsanları Önceki OneNote Kimlik Avı Kampanyasıyla Aynı FTP Sunucusunu Kullanıyor
Prajeet Nair (@prajeetspeaks) •
27 Şubat 2023
Bir Discord sunucusunda barındırılan bir bilgi hırsızı ile Asya-Pasifik ve Kuzey Amerika bölgelerindeki devlet kurumlarını hedefleyen bir bilgisayar korsanlığı kampanyası, kötü amaçlı yazılım dağıtmak için Microsoft OneNote dosyalarını kullanan önceki bir kampanyayla altyapıyı paylaşıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Menlo Security’deki araştırmacılar, büyük bir oyuncu gibi görünmediğini, ancak devlet kurumlarının peşinde olduğu için izlenmeye değer olduğunu söyledikleri bilinmeyen bir tehdit aktörü tespit ettiler.
Kampanyanın arkasındaki bilgisayar korsanları, olası kurbanları Discord sunucusuna giden bir bağlantıya tıklayarak PureCrypter kötü amaçlı yazılım indiricisini indirmeye ikna etmek için e-posta kullanıyor. Zscaler, 2022 tarihli bir blog gönderisinde, indiricinin çevrimiçi olarak 59 ABD dolarına satıldığını ve antivirüs tarafından tespit edilmekten kaçınmak için gizleme tekniklerini kullandığını yazdı.
Menlo Security araştırmacıları, ikincil yükü elde etmek için PureCrypter bağlantısını takip etmeye çalıştıklarında, bağlantı, o sırada kapalı gibi görünen güvenliği ihlal edilmiş bir web etki alanına yol açtığı için yapamadılar.
Kampanyadan alınan diğer örnekler, indirmenin ilk kez 2014’te ortaya çıkan bir bilgi hırsızı olan AgentTesla olduğunu gösterdi. Siber güvenlik şirketi Cofense’nin kısa süre önce yazdığına göre, kullanımı 2020’nin sonlarından bu yana arttı.
Kampanya ayrıca Redline Stealer, Eternity, Blackmoon ve Philadelphia fidye yazılımını indirmek için PureCrypter’ı kullandı.
Ajan Tesla indiricisi, görünüşe göre Pakistanlı bir diş macunu şirketine ait olan bir FTP sunucusuna ait çalıntı kimlik bilgilerini kullandı. Aynı FTP sunucusu, Proofpoint tarafından tanımlanan ve Microsoft’un Office paketine dahil ettiği not alma uygulaması OneNote için biçimlendirilmiş dosyaları kullanarak kötü amaçlı yazılım dağıtan bir kampanyanın parçasıydı (bkz.: Microsoft OneNote En Son Kötü Amaçlı Yazılım Vektörüdür).
Menlo Security, analiz ettiği kötü amaçlı yazılımda sabit kodlanmış bir parola bulduğu için FTP sunucusunda oturum açabildi.