“Sessiz Skimmer”, çevrimiçi işletmeler ve Satış Noktası (POS) sağlayıcıları gibi savunmasız çevrimiçi ödeme altyapısını hedef aldığı tespit edilen, finansal motivasyona sahip bir gruptur.
Çoğunlukla Asya-Pasifik (APAC) bölgesinde aktiftirler. Saldırgan, kusurlardan yararlanarak web sunucularını hackler ve ilk erişimi elde eder. Son yük, tüketicilerin hassas finansal bilgilerini saldırıya uğramış web sitelerinden toplamak için ödeme kazıma tekniklerini kullanıyor.
BlackBerry Tehdit Araştırma ve İstihbarat ekibinin bulduğu bilgilere göre, tehdit aktörü Çince konusunda yetenekli görünüyor ve en çok Asya-Pasifik (APAC) bölgesinde aktifler ve Kuzey Amerika’da çok sayıda kurbanları var.
Çeşitli saldırı türleri ve bunların nasıl önleneceği hakkında bilgi edinmek için Canlı DDoS Web Sitesi ve API Saldırı Simülasyonu web seminerine katılın.
Şimdi Katıl
Bu Saldırıda Kullanılan Taktikler, Teknikler ve Prosedürler (TTP’ler)
Web uygulamaları, özellikle de İnternet Bilgi Hizmetleri’nde (IIS) barındırılanlar, kampanya operatörlerinin saldırılarına karşı savunmasızdır. Ana hedefleri ödeme ödeme sayfasını hacklemek ve kullanıcılardan kritik ödeme bilgilerini çalmaktır.
Cyber Security News ile paylaşılan bilgiye göre, “Saldırgan, web sunucusuna ilk erişimi elde ettikten sonra, açık kaynak araçlar ve Living Off the Land Binary ve Scripts (LOLBAS) dahil olmak üzere çeşitli araç ve teknikleri kullanıyor.”
Araştırmacılar, grubun, bir bağlantı noktası tarayıcısı ve daha önce gelişmiş kalıcı tehdit (APT) grubu HAFNIUM ve şüpheli Vietnamlı suç yazılımı aktörleri XE Group tarafından istismar edilen bir güvenlik açığı olan CVE-2019-18935’in uygulanması da dahil olmak üzere GitHub kullanıcısı ihoney tarafından oluşturulan araçları kullandığını söylüyor. .
CVE-2019-18935’in kötüye kullanılmasının bir sonucu olarak uzaktan kod yürütme (RCE) meydana gelebilir.
Raporlarda özellikle en az beş Ayrıcalık Artışı, bir Uzaktan Kod Yürütme (RCE), bir Uzaktan Erişim, bir İndirici/Aşama Aracı ve bir Kullanım Sonrası aracının bu kampanya tarafından kullanıldığı belirtiliyor.
Yük, sistem verilerini toplamak, aramak, indirmek, ilgili dosyaları yüklemek, bir veritabanına bağlanmak vb. dahil olmak üzere çeşitli görevleri gerçekleştirebilen bir RAT (uzaktan erişim aracı) olan bir PowerShell betiğini dağıtmak için kodu çalıştırır.
Bu RAT, saldırganların bir NAT’ın arkasından yerel sunucuları açığa çıkarmasını sağlayan Hızlı Ters Proxy aracı, uzaktan erişim komut dosyaları, indirici komut dosyaları, web kabukları, Cobalt Strike işaretçileri ve açıklardan yararlanan yazılımlar da dahil olmak üzere çeşitli araçlar içeren bir sunucuya bağlanır.
Son düşünceler
“Sessiz Skimmer” girişimi dünya çapındaki zayıf web uygulamalarını bulmayı ve bunlardan yararlanmayı amaçlıyor. Belki de tehdit aktörü, son zamanlardaki başarılarının bir sonucu olarak aktif olarak yeni ve daha büyük hedefler arıyordur.
Araştırmacılar, “Geleneksel olarak bazı sunucuların, geleneksel uç noktalar için mevcut olan modern güvenlik teknolojilerinden yoksun olduğu belirtiliyor” dedi.
“Bu, onları saldırganlar için çekici bir hedef haline getiriyor; özellikle de kalıcılığı sürdürmenin daha kolay olduğu ve işledikleri hassas veri türlerinin, özellikle de ödeme bilgilerinin akılda tutulduğu göz önüne alındığında.”
Araştırmacılar gelecekte buna benzer sistemlere karşı aynı yerlerde ve başka yerlerde daha fazla saldırı beklenmesi gerektiğine inanıyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.