Cyberarmor analistleri, Sosyal Güvenlik İdaresi (SSA) ifadelerinin güvenilir temasından yararlanarak 2.000’den fazla cihazı zaten tehlikeye atmış olan titizlikle hazırlanmış bir kimlik avı kampanyası ortaya çıkardılar.
Bu operasyonun arkasındaki siber suçlular, resmi bir SSA iletişimi olarak maskelenen ve kullanıcıları kötü amaçlı yazılımlar indirmeye aldatan son derece ikna edici bir e -posta cazibesi kullandı.
Kampanyanın teknik karmaşıklığı, psikolojik manipülasyonu ile birleştiğinde, saldırılarını sürdürmek için meşru görünümlü altyapıdan yararlanmanın tehdit aktörlerinin artan cesaretinin altını çiziyor.
.png
)
Gelişmiş kimlik avı kampanyası
Saldırı, kurbanları Amazon Web Services (AWS) ‘de barındırılan sahte bir web sayfasına yönlendiren bir URL içeren bir kimlik avı e -postasıyla başlar. hxxps://odertaoa[.]s3.us-east-1.amazonaws.com/ssa/US/index.html.
AWS gibi güvenilir bir platformda barındırma seçimi muhtemelen kimlik avı taktiklerine aşina olmayan kullanıcılar arasındaki şüpheyi düşürmeyi amaçlıyordu.
Sahte sayfaya girdikten sonra, kullanıcılardan “İfadeye Erişim” i tıklamaları istenir ve bunları bir dosyayı indirme talimatları ile ikincil bir sayfaya götürür. US_SocialStatmet_ID544124.exe.
Diğer talimatlar, kurbanların dosyayı yürütmeleri için yönlendirerek sistemlerine etkili bir şekilde kötü amaçlı yazılım yükleyerek yönlendirir.
Bu çok aşamalı aldatmaca, saldırganların başarılı enfeksiyonu sağlamak için kullanıcı manipülasyonuna odaklanmasını vurgulamaktadır.
Kötü amaçlı yazılım mekaniği
Kötü amaçlı yazılımın teknik kompozisyonuna girerek, SHA256 karma ile tanımlanan dosya 1c939551452b2137b2bd727f13fab80da192f174d0311d23fc3c1c531cefdc87 bir .NET uygulama yükleyicidir.
Yürütme üzerine, kaynaklarından gömülü bir .NET uygulamasını açar ve çalıştırır ve iki yönlü bir enfeksiyon işlemi başlatır.
İlk bileşen olan bir .NET LEALTER, kötü niyetli niyet için yeniden tasarlanmış meşru bir uzak masaüstü aracı olan ScreAnNonnect yazılımının dağıtımını desteklemek için bir “Dosyalar” klasöründen ek bağımlılıklar yükler.
“Giriş noktası” dosyasını olarak adlandırılan ikinci bileşen, birincil arka kapı görevi görür ve bir komut ve kontrol (C2) sunucu adresi getirir secure.ratoscbom.com:8041 yükleyici içinde sabit kodlanmış.
Bu, kötü amaçlı yazılımın saldırganın altyapısına sessiz bir bağlantı kurmasını sağlar ve tehlikeye girmiş sistemlere yetkisiz uzaktan erişim sağlar.
Bu kampanyanın kapsamı endişe vericidir, Cyberarmor’un telemetrisi, kimlik avı ile etkileşime giren 2.000’den fazla kullanıcının önemli bir kısmının kötü amaçlı yazılımları kurduğunu doğrular.
Bu olay, sosyal mühendislik saldırılarının, özellikle de devlet kuruluşlarının taklit ettiği kalıcı tehdide açık bir hatırlatma görevi görüyor.
Bu tür tehditlerle mücadele etmek için, kullanıcıların yalnızca yetkililer aracılığıyla belgelere erişerek tüm SSA iletişimlerini doğrulamaları istenir. ssa.gov Portal.
Rapora göre, kuruluşlar yetkisiz uzak masaüstü araçları için gerçek zamanlı izleme ile uç nokta korumasını desteklemeli ve resmi yazışmaları taklit eden kimlik avı girişimlerini tanımak için kullanıcı eğitimine öncelik vermelidir.
Ayrıca, screenconnect ile ilişkili şüpheli IP’lere ağ trafiği derhal işaretlenmeli ve araştırılmalıdır.
Cyberarmor, bu tür saldırılar için genellikle ana hedefler olan finans ve sağlık sektörleri arasında, bu kampanyayı ve ilişkili altyapıyı izlemeye devam ediyor.
Uzlaşma Göstergeleri (IOC)
| Gösterge Türü | Değer |
|---|---|
| SHA256 | 1C93951452B2137B2BD727F13FAB80DA192F174D0311D23FC3C1C531CEFDC87 |
| İhtisas | Secure.ratoscbom.com:8041 |
| Url | hxxps: // odertaoa[.]S3.us-eest-1.amazonaws.com/ssa/us/index.html |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin