Son zamanlarda yapılan bir soruşturmaya göre, Resmi Sosyal Güvenlik İdaresi (SSA) iletişimi olarak maskelenen sofistike bir kimlik avı kampanyası, 2.000’den fazla cihazı başarıyla tehlikeye attı.
Hükümet yazışmalarıyla ilişkili güvenden yararlanan saldırı, şüphesiz kurbanlara kötü niyetli yükler sağlamak için tasarlanmış sosyal mühendislik taktiklerinde ilgili bir evrimi temsil ediyor.
Bu operasyonun arkasındaki siber suçlular, ilk olarak kurbanları Amazon Web Services altyapısında barındırılan ikna edici tasarlanmış kimlik avı sayfalarına bağlantılar içeren e-postalar içeren çok aşamalı bir yaklaşım kullandı.
.png
)
Aldatıcı kampanya, kullanıcıları resmi SSA iletişimlerini taklit eden hileli bir web sayfasına yönlendirerek, belirgin şekilde görüntülenen bir düğmeden “ifadeye erişmelerini” istedi.
Tıkladıktan sonra, kurbanlar Sosyal Güvenlik ifadeleri gibi görünen indirme talimatları içeren ikincil bir sayfaya yönlendirildi.
“Us_socialStatmet_ID5544124.exe” dosya adı ile gizlenmiş kötü amaçlı yazılım, sofistike bir arka kapı mekanizması içerdiğinde meşru görünecek şekilde tasarlanmıştır.
Cyberarmor analistleri, kötü amaçlı yazılımları çok aşamalı bir enfeksiyon süreci yürüten özel bir .NET uygulama yükleyici olarak tanımladı.
.webp)
Analizleri, ilk yürütülebilir dosyanın, mağdur sistemlerine kalıcı uzaktan erişim sağlamak için tasarlanmış gömülü bileşenleri açan ve başlatan bir sargı görevi gördüğünü ortaya koydu.
Güvenlik firmasından gelen telemetri verileri, kimlik avı lüresiyle etkileşime giren 2.000’den fazla kullanıcının önemli bir yüzdesinin bilmeden kötü amaçlı yazılımı yüklediğini doğrulamaktadır.
Kampanyanın etkinliği, güvenilir kuruluşlardan – hem Sosyal Güvenlik İdaresi’nin yetkisi hem de Amazon’un ev sahibi itibarını – kullanıcıların güvenlik şüpheciliğini atlamaktan kaynaklanıyor.
Finansal ve sağlık sektörlerine özel bir uyanıklık kullanmaları tavsiye edilmesine rağmen, hedefleme belirli endüstrilere odaklanmak yerine geniş görünmektedir.
Enfeksiyon mekanizması
Kötü amaçlı yazılımların teknik karmaşıklığı, operasyonel çerçevesini inceledikten sonra belirginleşir. Yürütüldüğünde, .NET Loader, işlevselliği için kritik olan birden fazla gömülü kaynağı alır ve dağıtır.
Birincil bileşenler, bir ‘dosyalar’ klasöründe depolanan bağımlılıkların yüklenmesinden sorumlu bir çözücü içerir ve ScreAncect uzaktan erişim yazılımını yürütmek için gereklidir.
Kötü amaçlı yazılım, ana arka kapı bileşeni olarak işlev gören bir ‘Girişim Noktası’ dosyası çalıştırır ve 8041 numaralı bağlantı noktasında Securter.ratoscbom.com adresindeki komut ve kontrol sunucusuyla bağlantı kurar.
Kötü amaçlı yazılım yapılandırmasının analizi, screAnconnect istemcisi için bağlantı parametrelerini belirten bir XML yapısını ortaya çıkarır.
Bu yapılandırma, yazılımın kullanıcıyı uyarmadan yetkisiz bir uzak oturum oluşturmasını sağlayan kodlanmış kimlik doğrulama kimlik bilgileri içerir.
Kötü amaçlı yazılımların Screenconnect gibi meşru uzaktan yönetim araçlarını kullanması, yetkili yazılımı kötü niyetli amaçlar için kullanan “arazide yaşamak” tekniklerinin bir eğilimini temsil eder.
Saldırı zincirinin tamamı dikkatle düzenlenmiş bir yaklaşım sergiliyor: İlk kimlik avı e-postasından AWS tarafından barındırılan açılış sayfasına (// odertaoa[.]S3.US-EAST-1.amazonaws.com/ssa/us/index.html), gömülü yükü ile indirilebilir yürütülebilir dosyaya.
Bu çok katmanlı yaklaşım, saldırganların enfeksiyon başarı oranlarını en üst düzeye çıkarırken geleneksel güvenlik kontrollerinden kaçmasına yardımcı olur.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free tria