Devam eden bir RedLine bilgi hırsızlığı girişimi, iş operasyonlarını otomatikleştirmek için lisanssız kurumsal yazılım kopyaları kullanan Rusça konuşan girişimcileri hedef alıyor.
Saldırganlar, benzersiz bir şekilde gizlenmiş bir RedLine hırsızı içeren HPDxLIB etkinleştiricisinin kötü amaçlı bir sürümünü iş süreci otomasyonu kullanıcılarına dağıtıyordu.
Raporlar, kampanyanın Ocak 2024’te başladığını ve bu yazının yazıldığı an itibarıyla hâlâ lisanssız yazılım müşterilerini tehdit ettiğini gösteriyor.
Kaspersky, “İş süreçlerini otomatikleştirmeye yönelik kurumsal yazılımların lisanssız kopyalarını kullananlar, saldırganların muhasebe forumlarına kötü amaçlı etkinleştiriciler dağıttığı bir saldırıyla karşı karşıya kaldı” dedi.
“Keşfedilen örnekler, oldukça alışılmadık bir şekilde gizlenmiş bir RedLine hırsızı içeren, iyi bilinen HPDxLIB aktivatörünün versiyonlarıydı: aktivatör kütüphanesi .NET Reactor tarafından gizlendi ve kötü amaçlı kod birkaç katman halinde sıkıştırılıp şifrelendi.”
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
RedLine Bilgi Hırsızı Korsan Kurumsal Yazılımları Silahlaştırıyor
Araştırmacılar, HPDxLIB aktivatörünün kötü amaçlı sürümünün .NET’te yerleşik olduğunu ve geçerli bir sertifikaya sahip meşru C++ sürümünün aksine, kendinden imzalı bir sertifika kullandığını belirtiyor.
Siber suçlular, muhasebe ve şirket mülkiyeti konularına ayrılmış forumlarda kötü niyetli eylemcilere bağlantılar sağlar.
Mesajlarda lisans kontrolünün nasıl atlanabileceğine dair çok detaylı bilgiler veriliyor, zararlı yük konusunda sessiz kalarak güncellemelere odaklanılıyor.
Bu program güvenlik düzeltmelerini belirlemeye başladığında, bazı forumlar kullanıcıları HPDxLIB yapısında RedLine Stealer’ın potansiyel varlığı konusunda uyarmaya başladı.
Yine de araştırmacılar, programın talimatlarının hâlâ sizden güvenliği kapatmanızı ve kötü amaçlı dosyaları hariç tutma listesine eklemenizi istediğini söylüyor; bunlar olmadan korsan etkinleştiriciler çalışmayacaktır.
Kötü amaçlı örneğe yönelik talimatlar, kullanıcıları meşru dinamik kütüphane techsys.dll dosyasını etkinleştiricidekiyle değiştirmeye teşvik ediyor. HPDxLIB’nin “Pure” versiyonları da bu yaklaşımı kullanır.
Ancak siber suçlular tarafından sağlanan bir derleme söz konusu olduğunda meşru 1cv8.exe işlemi, kötü amaçlı kitaplığı yükler ve iş yazılımının yamalı bir sürümü başlatıldığında bu kitap, hırsızı çalıştırır.
Raporda, “Saldırganlar güvenlik açıklarından yararlanmıyor ve kurumsal yazılımın kendisinden hiçbir şekilde yararlanmıyor; yalnızca kurbanın saflığını kötüye kullanıyorlar” diyor.
RedLine hırsızı, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) konsepti kullanılarak dağıtılır. Kötü amaçlı yazılımın geliştiricileri, kullanıcılara tek seferlik bir yapı satın alma veya hırsız aboneliğine kaydolma seçeneği sunuyor.
RedLine ailesi, anlık mesajlaşma uygulamalarından, tarayıcılardan ve ele geçirilen sistemden ve kullanıcılarından gelen bilgiler de dahil olmak üzere, belirlenmiş bir C&C sunucusundan gizli verileri çalma konusunda uzmanlaşmıştır.
Bu kampanyanın arkasındaki saldırganların, iş prosedürlerini yazılımla otomatikleştiren Rusça konuşan işletme sahiplerine erişim sağlamak istedikleri açık. Bireysel kullanıcılar yerine şirketleri hedef almaları benzersiz görünüyor.
Kampanya aynı zamanda korsan yazılımların ve çeşitli aktivatörlerin ne kadar güvenilmez olduğunu da gösteriyor. Bu nedenle işletmeler güvende olmak için sahte yazılım kullanmaktan kaçınmalıdır.
IoC’ler
SFX Arşivleri
5579ca3bc1820615b0af1759d1b78520 4909f24b7221e87b0c903d5b37d69dce d63579ea9ec4bd2ab01a60d0ce2d2722 1e0063b86665b824f5122b916733b190 91c9aa2291bf147cad94ef73efcb7815 a93d65a55842138faf6516edf1e0c9df
techsys.dll
3460e0257c0bd662e51e8dfdefbbcb56 4bf35488cc7edeec65e9f6f2b5c155cc c4450d22c842554d10c0ef6c925e2cbe 20f036d7ede6ba59b5cb16a3a81f337c ce11dfcf2c1817e5911b58e24af316d6 31538e09545f89a26881d9b6158685fe 777fa58b02126c420252a60d4716635f
hpdx.dll
c0dd226564fa98684d10ce5a9f4fb8dd cbdaa5e11c2522fbbef57acc83014dc6 917af383b32586ba1a8ecb2058f17887
RedLine Yükü
e0057ae14461e3b8a78e37ec22be695a 2a81e1ce4db9f25577a86744be60a853
K&K
213.21.220[.]222:8080
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses