Şükran Günü arifesinde, Storm-0900 olarak bilinen gelişmiş bir tehdit aktörü, Amerika Birleşik Devletleri’ndeki kullanıcıları hedef alan yüksek hacimli bir kimlik avı kampanyası başlattı.
Microsoft Threat Intelligence güvenlik analistleri, alıcıları aldatmak amacıyla tasarlanan on binlerce e-postadan oluşan bu koordineli saldırıyı tatil döneminde tespit ederek engelledi.
Kampanyada, zamanında gerçekleşen olaylardan yararlanan iki temel sosyal mühendislik teması kullanıldı: sahte park cezası bildirimleri ve sahte tıbbi test sonuçları.
Saldırganlar, Şükran Günü’ne atıfta bulunarak, kurbanların şüphesini azaltan ve kullanıcıların etkileşim olasılığını artıran bir aciliyet ve güvenilirlik duygusu yarattı.
Kampanyanın başarısı, çok sayıda aldatmaca katmanına ve teknik karmaşıklığa dayanıyordu.
Kimlik avı e-postaları, kötü amaçlı alan adı izin hizmetinde barındırılan, saldırgan tarafından kontrol edilen bir açılış sayfasına yönlendiren URL’ler içeriyordu[.]tepe.
Saldırganlar, kullanıcıları daha fazla yanıltmak ve güvenlik önlemlerini atlatmak için etkileşimli öğeler kullandı. Açılış sayfası, kullanıcıların bir kaydırıcıyı sürükleyerek bir CAPTCHA’yı tamamlamasını gerektiriyordu.
.webp)
Bu adım çoğu kullanıcı için meşru görünüyordu ancak aslında hedefin etkileşim yeteneğini ve kötü amaçlı yazılım dağıtımına hazır olup olmadığını doğrulamaya hizmet ediyordu.
.webp)
Microsoft Tehdit İstihbaratı güvenlik analistleri ve araştırmacıları, bu kampanyanın sonuçta tehdit ortamındaki birçok tehdit aktörü tarafından kullanılan popüler bir modüler uzaktan erişim kötü amaçlı yazılımı olan XWorm’un dağıtımına yol açtığını belirledi.
Kimlik avı sayfasıyla başarılı bir kullanıcı etkileşiminin ardından, kötü amaçlı yazılım, güvenliği ihlal edilmiş cihazlara dağıtılarak saldırganların kalıcı erişim ve kontrol oluşturmasına olanak sağlanır.
XWorm Enfeksiyonu ve Kalıcılık Mekanizması
XWorm, modüler bir kötü amaçlı yazılım platformu olarak çalışır; bu, tehdit aktörlerinin güvenliği ihlal edilmiş cihazlarda çeşitli görevleri gerçekleştirmek için farklı eklentiler yükleyebileceği anlamına gelir.
Kötü amaçlı yazılımın modüler mimarisi onu özellikle tehlikeli hale getiriyor çünkü saldırganların saldırıları belirli hedeflere göre özelleştirmesine olanak tanıyor.
XWorm kurulduktan sonra, tehdit aktörlerinin ek kötü amaçlı yazılım dağıtmasına, hassas verileri çalmasına ve kurban sistemlerinde uzun vadeli kalıcılık sağlamasına olanak tanıyan uzaktan erişim yeteneklerini etkinleştirir.
Kötü amaçlı yazılım, komuta ve kontrol altyapısıyla iletişim kurarak saldırganların uzaktan komut vermesine ve ele geçirilen makinelerden bilgi sızdırmasına olanak tanıyor.
Microsoft, e-posta filtreleme teknolojileri, uç nokta korumaları ve saldırgan altyapısının tehdit istihbaratına dayalı önleyici engelleme kombinasyonu yoluyla tüm kampanyayı başarıyla kesintiye uğrattı.
Bu çok katmanlı savunma yaklaşımı, kimlik avı e-postalarının çoğunun amaçlanan hedeflere ulaşmasını engelledi ve kullanıcılar onlarla etkileşime geçmeden önce kötü amaçlı alan adlarına erişimi engelledi.
Kuruluşlar, acil konulara gönderme yapan olağandışı iletişimlere karşı dikkatli olmalı ve sosyal mühendislik girişimlerinin genellikle arttığı tatil dönemlerinde güçlü e-posta güvenlik kontrolleri uygulamalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
