Bilgisayar korsanları, genellikle güvenlik önlemleriyle algılanmayan, iyi bilinen ve güvenilir bir PDF biçimine kötü amaçlı kodlar veya komut dosyaları ekleme yeteneğine sahip oldukları için silahlı PDF dosyaları kullanır.
Kişi böyle kötü amaçlı bir belgeyi açarsa, bu belge kötü amaçlı yazılım yüklerini açığa çıkarabilir, hassas verileri çalabilir veya virüslü cihazda rastgele kod çalıştırabilir.
Bilgisayar korsanları için bunlar, hedeflenen sistemlere girmenin yararlı yollarıdır, çünkü PDF'ler yaygın ve günlük şeylerdir. Cofense'deki siber güvenlik araştırmacıları yakın zamanda Rhadamanthys hırsızının petrol ve gaz sektörüne saldırmak için silahlı PDF dosyalarını aktif olarak kullandığı kötü niyetli bir kampanyayı keşfetti.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Silahlandırılmış PDF Yoluyla Rhadamanthys Hırsızı
Kampanya esas olarak Petrol ve Gaz sektörüne odaklandı ancak diğer sektörlere de değişebilir.
E-posta güvenliğinden kaçınmak için güvenilir alanlar, yönlendirmeler ve tıklanabilir resimler gibi TTP'leri birleştirerek endişe verici bir e-posta dağıtım başarısı elde etmeyi başardı.
Rhadamanthys Stealer kötü amaçlı yazılım yürütülebilir dosyası, enfeksiyon zinciri sırasında kötü amaçlı bir PDF indirmek için kullanıldı.
%20(1).webp)
Kampanya e-postaları, mağdurları yönlendirmek için meşru Google alanlarındaki açık yönlendirme güvenlik açığını kötüye kullanan yerleşik bağlantılarla birlikte bir araç olayı temasıyla hazırlandı.
Bağlantı, yeni kaydedilen bir alandaki kötü amaçlı bir PDF dosyası olan nihai hedefi gizleyen bir URL kısaltıcıya yol açtı.
Tıklanabilir PDF, Federal Ulaştırma Bürosu'nu yanılttı ve Rhadamanthys Stealer yürütülebilir dosyasını içeren kötü amaçlı bir ZIP'in indirilmesini sağladı. Çalınan verilere sızmak için C2 sunucusuna bağlanan kötü amaçlı yazılım.
.webp)
Tehdit aktörleri, araç olaylarını kimlik avı tuzağı olarak kullanmaya çalışıyor ve duygulara hitap edecek e-postalar hazırlıyor.
Her e-posta farklıdır, ancak hepsi aldatma amacıyla işverenin araba kazalarına ilişkin bildirimlerini özetlemektedir.
Genel tema, farklılıklar olsa da halen devam ediyor.
Kelime bulutu, “acil” ve “önemli” gibi anahtar ifadeleri ve duygusal kelimeleri gösterir. Kimlik avı tehdidi, tanıdık taktikler sosyal mühendislikle tasarlanmış yemlerle birleştirildiğinde önemli ölçüde yoğunlaşıyor.
E-postalar, muhtemelen ifade çeşitliliği için yapay zekayı kullanarak, araç olaylarıyla ilgili konuları rastgele oluşturmuştu. Araç temasına uygun olmayan sahte meşruiyet sağlamak amacıyla Google açık yönlendirmeleri kötüye kullanıldı.
Sonunda kurbanın sıkıntısından yararlanılarak araç kazası ve para cezasıyla ilgili Federal Ulaştırma Bürosu'ndan geliyormuş gibi görünen ikna edici, kötü niyetli bir PDF görüntüsü ortaya çıktı.
Çok katmanlı yönlendirme ve barındırma taktikleri güvenliği aşmaya çalıştı.
Kimlik Avı E-posta Konuları
Aşağıda tüm Kimlik Avı e-postası konularından bahsettik: –
- Acil: Araba Kazanızla İlgili Bilgileri İnceleyin
- Dikkat Gerekiyor: Aracınızın Çarpışması
- Arabanızı Etkileyen Olay: Israrlı Bakım Gerekir
- Bildirim: Aracınızla İlgili Olay
- Otomobil Olayınız: Acil Yasal İşlem Gerekiyor
Kampanyanın gelişmiş sosyal mühendisliği ve kaçamak TTP'leri, MaaS olarak sunulan, kimlik bilgilerini, hassas verileri ve kripto para birimlerini hedef alan nadir fakat gelişmiş bir C++ bilgi hırsızı kötü amaçlı yazılımı olan Rhadamanthys Stealer'ı sunmayı amaçlıyordu.
Kötü amaçlı yazılım bulaştığında benzersiz bir C2 URL'sine bağlanır. Rhadamanthys'in yeteneklerini geliştirmeye yönelik büyük güncellemeler aldıktan sonra aniden ortaya çıkışı, kısa zaman dilimi göz önüne alındığında muhtemelen tehdit aktörlerini motive etti.
Yüksek fiyatlandırma, erişimin yetenekli tehdit aktörleriyle sınırlı olduğunu gösteriyor.
.webp)
Rhadamanthys Stealer kampanyası, kolluk kuvvetlerinin üretken LockBit Hizmet Olarak Fidye Yazılımı (RaaS) grubunu ele geçirmesinden kısa bir süre sonra ortaya çıktı ve muhtemelen daha önce LockBit hizmetlerini kullanan tehdit aktörlerini etkiledi.
RaaS ile bilgi hırsızının MaaS modeli arasındaki zamanlama ve benzerlikler, tehdit aktörlerinin alternatif olarak Rhadamanthys'e geçiş yaptığını gösteriyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide