Bi.zone Tehdit İstihbarat Ekibi tarafından ortaya çıkan gelişmiş bir kimlik avı kampanyasında, APT37 olarak da bilinen Squid Westwolf Grubu, çeşitli kuruluşlardaki kilit çalışanları hedeflemek için işe alım görevlilerini taklit ediyor.
Bu casusluk kümesi, kurbanları kötü niyetli ekler açmaya teşvik etmek için sahte iş fırsatları kullanır, bu da sonuçta sistem uzlaşmasına ve veri hırsızlığına yol açar.
Kimlik avı taktikleri ve teknikleri
Saldırı, güvenilirliği artırmak için genellikle tanınabilir logolar kullanan meşru bir şirketten iş teklifi gibi görünen bir kimlik avı e -postasıyla başlar.
E-posta, PDF belgesi olarak gizlenmiş kötü amaçlı bir LNK dosyası içeren “пеложение о работе.zip” adlı şifre korumalı bir zip arşivi içerir.
Açıldıktan sonra, bu LNK dosyası, Base64 kodlu bir yükü çözen ve birkaç dosyanın oluşturulmasına yol açan bir PowerShell komutunu yürütür, bu da birkaç dosyanın oluşturulmasına yol açar d.exe– d.exe.configVe DomainManager.dll.
Bu dosyalar kalıcılığı sağlamak için sistemin başlangıç klasörüne yerleştirilir.
. d.exe Dosya, meşruun yeniden adlandırılmış bir sürümüdür dfsvc.exebir sistem yardımcısı olarak maskelenmek için kullanılır.
PowerShell komutu ayrıca OBFUSCAR kullanılarak gizlenen bir .NET yükleyicisinin yürütülmesini de tetikler.
Bu yükleyici, internet bağlantısını kontrol eder ve sanal alan ortamlarında algılamayı önlemek için zamana dayalı kaçırma tekniklerini kullanır.
Ayrıca, yerel bir dosyadan veya uzak bir sunucudan indirilen AES128 CBC ile şifrelenmiş yükleri şifresini çözer ve yürütür.
Yükleyici, başlangıç klasöründen Autorun’u devre dışı bırakmak için kayıt defteri ayarlarını değiştirerek gizli işlemleri sağlar.
mngs Attachement.pdfAzaltma ve tespit
Rapora göre, bu tür tehditlere karşı korumak için kuruluşların şüpheli ekleri ve bağlantıları analiz edebilen ve engelleyebilen güçlü e -posta koruma çözümleri uygulamaları tavsiye edilir.
Son nokta tespit ve yanıt (EDR) sistemleri gibi gelişmiş tehdit algılama araçları, bu sofistike saldırıları tanımlamak ve azaltmak için çok önemlidir.
Bi.zone’un EDR’si, başlangıç klasörlerinde şüpheli PowerShell etkinliği ve dosya oluşturma için özel algılama kuralları sunar ve bu da kalamar kurtadamının taktiklerinin erken tespitine yardımcı olabilir.
Kalamar Kurtadam Grubu’nun gelişmiş gizleme teknikleri ve şifreleme kullanımı, siber tehditlerin gelişen doğasını vurgular.
Tehdit aktörleri tarafından kullanılan en son taktikler ve araçlar hakkında bilgi sahibi kalmak, etkili siber güvenlik stratejilerini korumak için gereklidir.
Kuruluşlar, tehdit istihbaratından yararlanarak ve kapsamlı güvenlik önlemleri uygulayarak, bu sofistike kimlik avı kampanyalarına karşı sistemlerini ve verilerini daha iyi koruyabilir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.