Bilgi hırsızlarını yayma işinde köklü iki siber suçlu grubu, yeteneklerini çeşitlendiriyor, kod imzalama sertifikalarını hırsız kötü amaçlı yazılım yaymak için kötüye kullanıyor ve ardından aynı dağıtım kanalları üzerinden fidye yazılımlarına yöneliyor.
TrendMicro’dan araştırmacıların yayınladığı bir blog gönderisinde, üretken RedLine ve Vidar hırsızlığı yapan kötü amaçlı yazılımlardan sorumlu tehdit aktörlerinin, artık Genişletilmiş Doğrulama (EV) sertifikalarıyla imzalanan ilk verileri yayan kimlik avı kampanyaları aracılığıyla fidye yazılımı yüklerini dağıtarak e-posta güvenliğini aşmalarına olanak tanıdığı ortaya çıktı. 13 Eylül.
“[Their actions suggest] Trend Micro araştırmacıları Hitomi Kimura, Ryan Soliven, Ricardo Valdez III, Nusrath Iqra ve Ryan Maglaque gönderide şunları yazdı: Tehdit aktörleri, tekniklerini çok amaçlı hale getirerek operasyonları kolaylaştırıyor.
Bir kurbanın başlangıçta EV kod imzalama sertifikalarına sahip bilgi hırsızı kötü amaçlı yazılım aldığı, ancak daha sonra aynı rota üzerinden fidye yazılımı yüklerini almaya başladığı belirli bir durumu araştırdılar. EV kod imzalama sertifikaları, her ülkede yasal ve fiziksel varlığı doğrulanan kuruluşlara verilir ve normal kod imzalama sertifikalarına kıyasla daha kapsamlı kimlik doğrulaması içeren bir verme süreci gerektirir. Ayrıca bir donanım belirtecinin gerekli olduğu durumlarda özel anahtar oluşturulmasını da gerektirirler.
Trend Micro araştırmacıları, bu yılın temmuz ayından ağustos ayına kadar belirli bir kurbanla ilgili olarak kullanılan 30 adet EV kod imzalı örnek keşfetti.
Gönderide “TrojanSpy.Win32.VIDAR.SMA olarak tespit edilen bilgi hırsızı çok biçimliydi ve her örnek farklı bir karma değerine sahipti” diye yazdılar.
Taktiğin ilk kez tek bir tehdit aktörünün bu kadar çok örnekle gözlemlenmesi olduğunu belirten araştırmacılar, tehdit aktörünün özel anahtara nasıl eriştiği konusunda emin olmadıklarını da sözlerine ekledi. Ancak saldırganların, çalıntı sertifikaları kullanarak, kötü amaçlı yazılımları yasal yazılım gibi göstererek, güvenlik korumalarını aşarak kod imzalama sertifikalarını kötüye kullandıkları biliniyor.
Sertifika Kötüye Kullanımını Engelleme
Ancak yetkililer teknolojideki güvenlik açıklarını dikkate aldılar. Aslında, Trend Micro’ya göre, bir genel anahtar altyapısı (PKI) endüstri grubu olan Sertifika Yetkilisi/Tarayıcı Forumu (CABF), özel anahtar korumasını ele almak amacıyla düzenli kod imzalama sertifikaları için bile donanım anahtarı oluşturmayı zorunlu hale getirdi. Bu, yazılım verileri olarak kopyalanamayacakları için bilgisayarlardan özel anahtarların ve sertifikaların çalınmasını daha da zorlaştırır.
Ancak Trend Micro’nun son olayla ilgili araştırması, bilgi hırsızının kod imzalamasının geçersiz kılınmadığını ortaya çıkardı çünkü iptal tarihi, numunenin imza tarihi yerine Trend Micro’nun kötüye kullanımı bildirdiği tarih olan 3 Ağustos’a ayarlandı. Kötü amaçlı yazılım örneği, belirlenen iptal tarihinden önce, 17 Temmuz’da imzalandı ve bu nedenle geçerli bir imza doğrulamasına sahip olmaya devam etti.
Araştırmacılar, bu tür senaryoların nasıl azaltılacağını açıklamak için sertifika yetkilisi (CA) ile temasa geçti ve sertifikanın, bu sertifikayı kullanan tüm kod imzalamayı geçersiz kılmak için iptal tarihi olarak düzenlenme tarihi kullanılarak iptal edilmesi gerektiğini tavsiye etti. Buna yanıt olarak CA, sertifikayı iptal tarihi olarak 21 Mart olacak şekilde işleme koydu ve Trend Micro’ya göre 21 Mart’tan sonra genel olarak gözlemlenen tüm örnek imzalar geçersiz kılındı.
Bilgi Hırsızı/Fidye Yazılımı Çift Saldırı Vektörü
İncelenen kampanya, sağlık ve otel konaklamalarıyla ilgili tipik konuların kullanıldığı, söz konusu kullanıcının aciliyet duygusuyla harekete geçmesini talep eden, sosyal mühendislikle tasarlanmış hedef odaklı kimlik avı e-postalarıyla başladı.
Temmuz ayında kurban, bir dizi kampanya sonucunda bilgi hırsızlığı verileri almaya başladı. Daha sonra, 9 Ağustos’ta kurban, kendisini zararsız bir .pdf dosyası gibi göstermek için çift dosya uzantısı (.pdf.htm) kullanan sahte bir TripAdvisor şikayet e-posta ekini indirip açması için kandırıldıktan sonra bir fidye yazılımı yükü aldı. Araştırmacılar, bunun gerçek .htm yükünü gizlediğini yazdı.
Yük, sonunda Ransom.Win64.CYCLOPS’un dağıtıldığı tespit edilen bir fidye yazılımı yükünün oluşmasına yol açan bir dizi işlemi yürüttü. Ancak bilgi hırsızlığının örneklerinden farklı olarak, fidye yazılımı yükünü bırakmak için kullanılan dosyalar EV sertifikalarına sahip değildi, ancak yükler aynı tehdit aktöründen aynı dağıtım yöntemiyle geliyordu.
Araştırmacılar, “Yükler, tespitin atlanmasına yardımcı olmak için kötü amaçlı dosyayı yürütme komutunu içeren LNK dosyalarını kullandı” diye yazdı. “Sistemleri kötü amaçlı yazılımlara karşı korumak için dosyaları otomatik olarak değerlendiren Google Drive’ın yerleşik protokollerine rağmen, kötü niyetli kişiler, kötü amaçlı dosyaları dosya depolama hizmeti aracılığıyla aktarmayı başarıyor.”
Fidye Yazılımını Olmadan Önce Durdurun
Trend Micro, bilgi çalma kampanyalarının hedefi olan kişi ve kuruluşların artık gelecekteki olası fidye yazılımı saldırılarına karşı dikkatli olmaları gerektiğini tavsiye etti; çünkü bulgular “tehdit aktörlerinin farklı amaçlar ve siber suçlar için tekniklerini en üst düzeye çıkarmada daha verimli hale geldiğini” gösteriyor. araştırmacılar yazdı.
Ayrıca bulgular, kötü amaçlı öğeleri kullanıcılara ulaşmadan önce ortadan kaldıran saldırı yüzeyi korumalarını yapılandırmanın ve güncellemenin öneminin altını çiziyor. Erken tespit ve azaltmanın, tehdit aktörlerinin daha sonra bir fidye yazılımı saldırısı için kullanabilecekleri yeterli bilgiyi toplamasını bile engelleyebileceğini belirttiler.
Son olarak, her zaman olduğu gibi kullanıcılar, doğrulanmamış kaynaklardan ve web sitelerinden dosya, program ve yazılım indirmekten kaçınmalı veya bunlardan kaçınmalıdır.