Saldırganlar DarkGate Kötü Amaçlı Yazılımını Dağıtmak İçin Microsoft Teams ve AnyDesk’ten Yararlanıyor


17 Aralık 2024Ravie LakshmananKötü Amaçlı Yazılım / Kimlik Bilgisi Hırsızlığı

Microsoft Teams ve AnyDesk

Yeni bir sosyal mühendislik kampanyası, DarkGate adı verilen bilinen bir kötü amaçlı yazılımın dağıtımını kolaylaştırmanın bir yolu olarak Microsoft Teams’ten yararlandı.

Trend Micro araştırmacıları Catherine Loveria, Jovit Samaniego ve Gabriel Nicoleta, “Bir saldırgan, bir kullanıcının istemcisinin kimliğine bürünmek ve sistemlerine uzaktan erişim sağlamak için Microsoft Teams çağrısı aracılığıyla sosyal mühendislik kullandı.” dedi.

“Saldırgan Microsoft Uzaktan Destek uygulamasını yükleyemedi ancak kurbana, uzaktan erişim için yaygın olarak kullanılan bir araç olan AnyDesk’i indirmesi talimatını başarıyla verdi.”

Yakın zamanda siber güvenlik firması Rapid7 tarafından belgelendiği üzere, saldırı, bir hedefin e-posta gelen kutusunun “binlerce e-posta” ile bombalanmasını içeriyordu; ardından tehdit aktörleri, harici bir tedarikçinin çalışanı gibi davranarak onlara Microsoft Teams aracılığıyla yaklaştı.

Saldırgan daha sonra kurbana AnyDesk’i sistemlerine kurması talimatını verdi; daha sonra uzaktan erişim, kimlik bilgisi hırsızı ve DarkGate kötü amaçlı yazılımı da dahil olmak üzere birden fazla veri dağıtmak için kötüye kullanıldı.

Siber güvenlik

2018’den bu yana aktif olarak kullanılan DarkGate, o zamandan beri sıkı bir şekilde kontrol edilen sayıda müşteriye sahip bir hizmet olarak kötü amaçlı yazılım (MaaS) teklifine dönüşen bir uzaktan erişim truva atıdır (RAT). Çeşitli yetenekleri arasında kimlik bilgileri hırsızlığı, tuş günlüğü tutma, ekran yakalama, ses kaydı ve uzak masaüstü yer alıyor.

Geçen yılki çeşitli DarkGate kampanyalarının analizi, bunun AutoIt ve AutoHotKey komut dosyalarını kullanan iki farklı saldırı zinciri yoluyla dağıtıldığı bilindiğini gösteriyor. Trend Micro tarafından incelenen olayda, kötü amaçlı yazılımın bir AutoIt betiği aracılığıyla dağıtıldığı görüldü.

Saldırı, herhangi bir veri hırsızlığı faaliyeti gerçekleşmeden engellenmiş olsa da, bulgular, tehdit aktörlerinin kötü amaçlı yazılım yaymak için nasıl çeşitli başlangıç ​​erişim yolları dizisi kullandığının bir işareti.

Kuruluşların, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri, onaylı uzaktan erişim araçlarını izin verilenler listesine eklemeleri, doğrulanmamış uygulamaları engellemeleri ve üçüncü taraf teknik destek sağlayıcılarını, canlanma riskini ortadan kaldırmak için kapsamlı bir şekilde incelemeleri önerilir.

DarkGate Kötü Amaçlı Yazılımı

Bu gelişme, kurbanları verilerinden ayrılmaya ikna etmek için çeşitli tuzaklardan ve hilelerden yararlanan farklı kimlik avı kampanyalarındaki artışın ortasında gerçekleşti.

  • Kötü aktörlerin popüler markaların kimliğine büründüğü ve potansiyel promosyonlar, ortaklık teklifleri ve pazarlama işbirlikleri için içerik oluşturuculara e-posta yoluyla yaklaştığı ve onları bir anlaşma imzalamak için bir bağlantıya tıklamaya teşvik ettiği ve sonuçta dağıtıma yol açtığı büyük ölçekli YouTube odaklı bir kampanya Lumma Stealer’ın. YouTube kanallarındaki e-posta adresleri bir ayrıştırıcı aracılığıyla çıkarılır.
  • QR kodu eki içeren PDF eki içeren kimlik avı e-postalarından yararlanan ve tarandığında kullanıcıları kimlik bilgileri toplamak için sahte bir Microsoft 365 oturum açma sayfasına yönlendiren bir sonlandırma kampanyası.
  • Kimlik avı saldırıları, bir belgeyi sözde incelemek veya indirmek için Microsoft 365 oturum açma sayfalarını ve sahte CAPTCHA doğrulama kontrollerini taklit eden sahte siteler oluşturmak üzere Cloudflare Sayfaları ve Çalışanları ile ilişkili güvenden yararlanır.
  • Faturalar veya İK politikaları gibi meşru belgeler olarak gizlenen ancak yerleşik JavaScript kodu içeren HTML e-posta eklerini kullanan kimlik avı saldırıları, kullanıcıları kimlik avı sitelerine yönlendirmek, kimlik bilgilerini toplamak ve kullanıcıları düzeltme bahanesi altında keyfi komutlar çalıştırmaya kandırmak gibi kötü amaçlı eylemleri gerçekleştirmek için kullanılır. bir hata (örn. ClickFix).
  • Kullanıcıların, kimlik bilgilerini toplamak üzere tasarlanmış kötü amaçlı bağlantılara tıklamalarını sağlamak için Docusign, Adobe InDesign ve Google Accelerated Mobile Pages (AMP) gibi güvenilir platformlardan yararlanan e-posta kimlik avı kampanyaları.
  • Kullanıcıların kimlik bilgilerine erişim sağlamak ve kuruluşun sistemlerini ihlal etmek amacıyla Okta’nın destek ekibinden geldiğini iddia eden kimlik avı girişimleri.
  • Hintli kullanıcıları hedef alan, WhatsApp aracılığıyla dağıtılan ve alıcılara finansal bilgileri çalabilecek kötü amaçlı bir banka veya yardımcı program uygulamasını Android cihazlara yüklemeleri talimatını veren kimlik avı mesajları.
Siber güvenlik

Tehdit aktörlerinin, küresel olayları kimlik avı kampanyalarına dahil ederek hızlı bir şekilde kendi çıkarları doğrultusunda çıkarları olduğu, kurbanları manipüle etmek ve onları istenmeyen eylemler yapmaya ikna etmek için genellikle aciliyet ve duygusal tepkilerden yararlandıkları da bilinmektedir. Bu çabalar, etkinliğe özel anahtar kelimelerle yapılan alan adı kayıtları ile de tamamlanmaktadır.

Palo Alto Networks Birim 42, “Spor şampiyonaları ve ürün lansmanları da dahil olmak üzere yüksek profilli küresel etkinlikler, kamu çıkarını istismar etmek isteyen siber suçluların ilgisini çekiyor” dedi. “Bu suçlular, sahte ürünler satmak ve sahte hizmetler sunmak için resmi web sitelerini taklit eden aldatıcı alan adları kaydediyor.”

“Güvenlik ekipleri, etki alanı kayıtları, metin kalıpları, DNS anormallikleri ve değişiklik isteği eğilimleri gibi temel ölçümleri izleyerek tehditleri erken tespit edip hafifletebilir.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link