Dalış Özeti:
- Bir rapora göre, Microsoft’un 2022’de varsayılan olarak makroları engellemeye başlamasının ardından, finansal amaçlı bilgisayar korsanlığı grupları yeni saldırı yöntemleri kullanıyor. Proofpoint tarafından yayınlanan rapor.
- Proofpoint’e göre HTML kaçakçılığı adı verilen bir saldırı yöntemi, Haziran 2022’den bu yana keskin bir artış göstererek Ekim ayında ilk zirvesine ulaştı ve ardından Şubat ayında tercih edilen bir yöntem olarak geri döndü. Yöntem, bir HTML eki içinde kodlanmış bir komut dosyasının “kaçakçılığını” içerir ve kullanıcı bağlantıyı açtığında, kurbanın bilgisayarına kötü amaçlı bir yük boşaltılır.
- Teknik başlangıçta bilinen tehdit aktörleri TA570 ve TA577 tarafından kullanıldı, ancak Ekim ayından sonra diğer gruplar tarafından kampanyalarda kullanıldı. İlk erişim aracıları da dahil olmak üzere birden fazla grubun, Aralık 2022’den bu yana saldırı başlatmak için PDF eklerini kullandığı ve 2023’ün başlarında bir artış gözlemlendi.
Dalış Bilgisi:
Microsoft daha önce atacağı adımları duyurdu Ekim 2021 ve Şubat 2022 sırasıyla XL4 ve VBA makrolarını varsayılan olarak engellemek için. Suçlu gruplar, saldırıları başlatmak için ilk erişim yükleri olarak makroları kullanıyordu.
Proofpoint, 2021’de VBA makroları kullanan yaklaşık 700 kampanya ve XL4 makroları kullanan neredeyse aynı sayıda kampanya gözlemledi. Ancak, Microsoft bu makroları engellemeye başladıktan sonra, her iki türün de kullanımı üçte iki oranında düştü.
2023’e gelindiğinde, tehdit aktörleri taktik değiştirmeye başladığından, makroların kullanımı herhangi bir araştırma verisinde neredeyse hiç görülmedi.
Proofpoint’in kıdemli tehdit istihbaratı analisti Selena Larson, “Tehdit aktörleri, saldırı zincirlerinde çeşitli farklı dosya türlerini kullanmaya ve bunları düzenli olarak değiştirmeye başladı” dedi.
Larson’a göre araştırmacılar, HTML kaçakçılığı ve PDF dosyalarının ötesinde, gömülü betikler içeren OneNote dosyalarının kullanımında 2023’ün başından bu yana ani bir artış gördü.
Microsoft yetkilileri, yorum için bir talepte bulunmadı.