Siber güvenlik araştırmacıları, bilinmeyen tehdit aktörlerinin açık kaynaklı bir uç nokta izleme ve Velociraptor adlı dijital adli aracı kullandıkları ve kötü niyetli amaçlar için meşru yazılımların devam eden kötüye kullanılmasını gösterdiği bir siber saldırıya dikkat çektiler.
Sophos Counter Tehdit Birimi Araştırma Ekibi, bu hafta yayınlanan bir raporda, “Bu olayda, tehdit oyuncusu, saldırgan kontrollü bir komut ve kontrol (C2) sunucusuna tünel oluşturma niyeti ile Visual Studio kodunu indirmek ve yürütmek için aracı kullandı.” Dedi.
Tehdit aktörlerinin, karada yaşayan (LOTL) tekniklerini benimsedikleri veya saldırılarında meşru uzaktan izleme ve yönetim (RMM) araçlarından yararlandığı bilinmekle birlikte, Velociraptor kullanımı, bir dayanak elde etmek ve kendi kötü eşyalarını dağıtmak için ihtiyacını en aza indirmek için olay müdahale programlarının kullanıldığı taktik bir evrime işaret eder.
Olayın daha fazla analizi, saldırganların bir Cloudflare tünelleme aracı ve Radmin olarak bilinen bir uzaktan yönetim yardımcısı da dahil olmak üzere, kendileri tarafından kullanılan diğer araçlar için bir hazırlama alanı olarak hizmet veren bir MSI yükleyicisini indirmek için Windows MSIExec yardımcı programını kullandığını ortaya koydu.
MSI dosyası Velociraptor’u yüklemek için tasarlanmıştır, bu da daha sonra başka bir Cloudflare işçileri alan adıyla temas kurar. Daha sonra, kodlanmış bir PowerShell komutunu kullanarak aynı evreleme sunucusundan Visual Studio kodunu indirmek ve hem uzaktan erişim hem de uzaktan kod yürütülmesine izin vermek için Tünel seçeneği etkinleştirilmiş kaynak kod düzenleyicisini yürütmek için erişimden yararlanır.
Tehdit aktörleri, işçilerden ek yükler indirmek için MSIExec Windows yardımcı programını tekrar kullanarak gözlemlendi.[.]Dev klasör.
Sophos, “Kuruluşlar Velociraptor’un yetkisiz kullanımını izlemeli ve araştırmalı ve bu Tradecraft’ın gözlemlerini fidye yazılımlarının öncüsü olarak ele almalıdır.” Dedi. “Bir uç nokta algılama ve müdahale sistemi uygulamak, beklenmedik araçları ve şüpheli davranışları izlemek ve sistemleri güvence altına almak ve yedekleme oluşturmak için en iyi uygulamaların izlenmesi fidye yazılımı tehdidini azaltabilir.”
Açıklama, siber güvenlik firmalarının avcıları ve Permiso, Microsoft ekiplerini ilk erişim için kullanan kötü niyetli bir kampanyayı detaylandırarak, platformun kötü amaçlı yazılım dağıtım için işletme odaklı iletişiminde platformun güvenilir ve derinden gömülü rolünü silahlandıran büyüyen bir tehdit aktör modelini yansıtıyor.
Bu saldırılar, yeni oluşturulan veya tehlikeye atılan kiracıları doğrudan mesaj göndermek veya hedeflere çağrı başlatmak için kullanan tehdit aktörleri ile başlar, BT yardım masası ekiplerini veya diğer güvenilir kişileri, AnyDesk, Dwagent veya Hızlı Yardım gibi uzaktan erişim yazılımı yüklemek ve kötü amaçlı yazılım sunmak için mağdur sistemlerinin kontrolünü ele geçirmek için başlar.
Uzaktan erişim araçlarını içeren benzer teknikler, 2024’ten bu yana Black Basta gibi fidye yazılımı gruplarıyla bağlantılı olsa da, bu yeni kampanyalar ön e-posta bombalama adımından vazgeçer ve sonuçta kimlik belgesi, kalıcılık ve uzaktan kod yürütme ile ilişkili bir PowerShell yükü sunmak için uzaktan erişimden yararlanır.
Permiso araştırmacısı ISUF Deliu, “Katılımı başlatmak için kullanılan yemler, ekip performansı, sistem bakımı veya genel teknik destek ile ilgili yardımı olarak genellikle çerçevelenmiş rutin ve dikkat çekici görünecek şekilde uyarlanmıştır.” Dedi. “Bu senaryolar, günlük kurumsal iletişimin arka planına karışmak için tasarlanmıştır, bu da onları şüpheyi tetikleme olasılığını azaltır.”
Geçen yıl Darkgate ve Matanbuchus kötü amaçlı yazılım gibi kötü amaçlı yazılım ailelerini yaymak için benzer taktiklerin kullanıldığını belirtmek gerekir.
Saldırılar ayrıca, kullanıcıları iyi huylu bir sistem yapılandırma isteği kisvesi altında şifrelerini girmeye kandırmak için bir Windows kimlik istemi sunar ve daha sonra hasat edilir ve sistemdeki bir metin dosyasına kaydedilir.
Güvenlik araştırmacıları Alon Klayman ve Tomer Kachlon, “Microsoft Teams Phsoling artık bir saçak tekniği değil – geleneksel e -posta savunmalarını atlayan ve işbirliği araçlarına olan güveni kullanan aktif, gelişen bir tehdit.” Dedi.
Diyerek şöyle devam etti: “ChatCreated ve Mesajlar gibi denetim günlüklerini izleyerek, sinyalleri bağlamsal verilerle zenginleştirerek ve kullanıcıları tespit etmeleri/yardım masası takviyeleri için eğiterek, SOC ekipleri sömürülmeden önce bu yeni boşluğu kapatabilir.”
Bulgular ayrıca meşru ofisi birleştiren yeni bir kötü niyetli kampanyanın keşfini takip ediyor[.]com, kullanıcıları giriş bilgilerini hasat edebilen Microsoft 365 kimlik avı sayfalarına yönlendirmek için Active Directory Federasyon Hizmetleri (ADFS) ile bağlantılar.
Saldırı zinciri, kısaca, bir kurban arama motoru sonuçları sayfalarında haydut sponsorlu bir bağlantıya tıkladığında başlar ve sonuçta onları Microsoft’u taklit eden sahte bir giriş sayfasına götüren bir yönlendirme zincirini tetikler.
Push Security’den Luke Jennings, “Saldırganın Active Directory Federasyon Hizmetleri (ADFS) yapılandırıldığı özel bir Microsoft kiracısı kurduğu ortaya çıktı.” Dedi. “Bu, Microsoft’un yönlendirmeyi özel kötü amaçlı alan adına gerçekleştireceği anlamına geliyor.”
“Bu kendi başına bir güvenlik açığı olmasa da, saldırganların kendi Microsoft ADFS sunucusunu kimlik avı sayfalarını barındırmaları ve Microsoft’un yeniden yönlendirmelerini sağlama yeteneği, URL tabanlı algılamaları zaten olduğundan daha zor hale getirecek bir gelişme.”