Saldırganlar, en az Kasım 2021’den bu yana devam eden bir kripto para madenciliği kampanyasıyla meşru bir Windows yükleme aracının kötü amaçlı sürümleriyle 3D modelleyicileri ve grafik tasarımcılarını hedef alıyor.
Cisco Talos’un Tehdit Araştırmacısı Chetan tarafından hazırlanan bir rapora göre kampanya, Adobe Illustrator, Autodesk 3ds Max ve SketchUp Pro gibi yaratıcı profesyoneller tarafından kullanılan yazılımlar için kötü amaçlı yazılımları meşru yükleyicilerde gizlemek amacıyla yazılım paketleri oluşturmaya yönelik bir araç olan Gelişmiş Yükleyici’yi kötüye kullanıyor. Raghuprasad bu hafta yayınlandı.
Saldırganlar, yükleyicinin Özel Eylem adı verilen bir özelliği aracılığıyla kötü amaçlı komut dosyaları çalıştırarak birkaç veriyi düşürür — M3_Mini_Rat istemci saplaması arka kapısı, Ethereum kripto madenciliği kötü amaçlı yazılımı PhoenixMiner ve çoklu madeni para madenciliği tehdidi lolMiner dahil.
Kampanyanın yazılım yükleyicilerinin çoğu Fransızca yazılmıştı; gönderiye göre kurbanların çoğu Fransa ve İsviçre’de olduğu için bu mantıklı. Ancak kampanya aynı zamanda ABD, Kanada, Cezayir, İsveç, Almanya, Tunus, Madagaskar, Singapur ve Vietnam’daki mağdurları da hedef aldı.
Etkilenen kuruluşlar genellikle mimarlık, mühendislik, inşaat, üretim ve eğlence gibi sektörler de dahil olmak üzere 3D modelleme ve grafik tasarım alanlarında çalışan profesyonelleri çalıştıran kuruluşlardır.
Raghuprasad, saldırganların muhtemelen yüksek GPU özelliklerine sahip bilgisayarlar ve kripto para birimi üretmek için kullanışlı olan güçlü grafik kartları kullandıkları için bu sektörleri hedef aldığını yazdı.
İki Saldırı Yöntemi
Cisco Talos, silahlı yazılım yükleyicilerinin virüslü makinelere nasıl dağıtıldığına ilişkin ilk saldırı yöntemini belirleyemedi. Raghuprasad, “Geçmişte, arama motoru optimizasyonu (SEO) zehirlenmesi kullanılarak bu tür truva atı bulaştırılmış yükleyicilerin teslim edildiğini yaygın olarak gördük” dedi.
Saldırganlar, teslim edildikten sonra kötü amaçlı yazılım yüklemek için iki çok aşamalı saldırı yöntemini kullandı. İlk saldırı yöntemi, kurbanın makinesine bir arka kapı oluşturmak için M3_Mini_Rat istemci saplamasını yüklerken, ikinci saldırı yöntemi, kripto madenciliği için PhoenixMiner ve lolMiner’ı yerleştirir.
İlk saldırı dizisi, kurbanın, saldırganın Gelişmiş Yükleyiciyi kullanarak kötü amaçlı bir komut dosyasıyla paketlediği meşru bir yazılım yükleyicisine tıklamasıyla başlar. Saldırı, kurbanın makinesindeki görev zamanlayıcıyı yapılandırmaya yönelik bir komut içeren, bırakılan kötü amaçlı toplu dosyayı yürütmek için Gelişmiş Yükleyicinin Özel Eylem özelliğini kötüye kullanıyor.
Saldırı vektörü ayrıca kötü amaçlı bir PowerShell yükleyici komut dosyasını ve şifrelenmiş bir dosya olan M3_Mini_RAT istemci saplamasını da bırakır. Orijinal toplu iş dosyası tarafından oluşturulan görev, M3_Mini_Rat istemci saplamasını oluşturan ve bunu kurbanın makine belleğinde çalıştıran kötü amaçlı PowerShell yükleyici komut dosyasını yürütmek için her dakika çalışır.
M3_Mini_Rat daha sonra saldırganların komuta ve kontrolüne (C2) bağlanmaya çalışır; ancak araştırmacıların gözlemlediği saldırıda C2 yanıt vermedi, dolayısıyla herhangi bir kripto madenciliği yükünün düştüğünü görmediler.
İkinci saldırı yöntemi ayrıca, kötü amaçlı toplu komut dosyalarını bırakmak için Gelişmiş Yükleyiciyi ve Özel Eylemler özelliğini kötüye kullanır, ilk saldırıdan biraz farklı olan ancak sonuçta kötü amaçlı yükleri yürütmek için PowerShell yükleyicilerini indiren bir saldırı ile devam eder. Araştırmacılar bu saldırı vektöründe PowerShell’den PhoenixMiner ve lolMiner’ın lansmanını gözlemlemeyi başardılar.
Farklı olan ne
Raghuprasad, Dark Reading’e, kampanyanın birçok yönünün diğer kripto madencilik saldırıları açısından benzersiz olduğunu söylüyor. Saldırganların, kripto madenciliği yapmak için sistemin GPU’sunu devralan bir yük olan PhoenixMiner’ı kullanması, madencinin kullanıcılar tarafından kasıtlı olarak kurulabilmesi nedeniyle belirgin bir kaçırma düzeyi yaratır.
“Bu, savunma sistemlerinin sınıflandırması için zorluklar yaratıyor [the attack] saldırı zincirinin diğer gözlemlenebilirlerini dikkate almadıkça” diyor Raghuprasad.
Saldırganların aynı anda birden fazla kripto para birimi madenciliği yapma seçeneği sunan lolMiner’ı kullanarak mali kazanç elde etme olasılıklarını da artırdıklarını söylüyor.
Ayrıca, esas olarak sistem keşfi gerçekleştirmeye odaklanan uzaktan yönetim yeteneklerine sahip M3_Mini_RAT’ın kullanılması, kurbanın ortamına ilişkin değerli bilgiler sağlar ve gelecekteki saldırıların habercisi olabilir.
“Diğer ikili dosyaları indirme ve yürütme yeteneği, takip eden yüklerin olasılığını artırıyor, [such as] Raghuprasad, “diğer kötü amaçlı yürütülebilir dosyalar veya rastgele komutlar.” diyor.
Çıkarımlar ve Savunma Stratejileri
Raghuprasad, kripto para biriminden para kazanmanın cazibesinin geçen yıl bu tür saldırıların hızla artmasına yol açtığını ortaya koyan yakın tarihli bir raporla birlikte, kuruluşların mevcut saldırı hedefleri ve yöntemleri konusunda tetikte kalmasının önemli olduğunu söylüyor.
Gelişmiş Yükleyici kampanyası, saldırganların tipik hedeflerinden (yani oyunculardan) uzaklaştığını ve nihai hedeflerine ulaşmak için yasal yükleyicilerin yeni bir şekilde kullanıldığını gösterdi.
“Kuruluşlar ve kullanıcılar, tehdit aktörlerinin kurbanları tehlikeye atmak ve onları istismar etmek için sürekli olarak yeni yollar aradığının farkında olmalıdır” diyor. “Bu nedenle derinlemesine savunma yaklaşımı istiyorsunuz ve bu tür kötü amaçlı yükleyicilerden kaçınmak için uç nokta güvenliği gibi şeyleri çalıştırmanız gerekiyor.”
Raghuprasad, aslında kullanıcıların yazılım yükleyicilerini indirirken genel olarak dikkatli olmaları ve bunları yalnızca meşru ve güvenilir bir kaynaktan indirmeye dikkat etmeleri gerektiğini söylüyor.
Kuruluşların, uygulamaların yasal kopyalarını kullanmasının ve yalnızca bunlar için Web araması yapıp en iyi sonucu indirmelerinin (ki bu kötü amaçlı bir reklam olabilir) önemli olduğunu da ekliyor.