Bilgisayar korsanları, güvenlik yazılımı tarafından tespit edilmekten kaçınmak amacıyla kötü amaçlı yazılım dağıtımı için sıklıkla parola korumalı Zip Arşivi dosyalarını kullanır.
Dosyayı şifreleyerek kötü amaçlı yazılımın tespit edilmeden hedef sisteme sızmasına izin veriyorlar, bu da antivirüs yazılımının içeriğini incelemesini zorlaştırıyor.
11 ve 18 Ekim 2023’te Proofpoint’teki siber güvenlik araştırmacıları, TA571’in Forked IcedID varyantını yaydığı iki kötü amaçlı kampanya keşfetti.
Çeşitli sektörlerde dünya çapında 1.200’den fazla müşteri, bu iki kampanyanın gönderdiği 6.000’den fazla mesajdan etkilendi.
Proofpoint’teki güvenlik uzmanları, TA571 enfeksiyonlarının oluşturduğu fidye yazılımı tehlikesinden oldukça eminler çünkü bu tehdit grubu, kötü amaçlı e-postalar gönderen tanınmış bir spam dağıtıcısıdır.
Teknik Analiz
Kampanyalar, 404 TDS URL’si içeren e-postalarda ileti dizisi ele geçirme yöntemini kullandı. Bu bağlantılar, e-postada verilen şifreyle şifre korumalı zip arşivlerine yönlendirdi.
Ancak bunun yanı sıra arşiv teslim edilmeden önce alıcının kimliği birden fazla kontrolle doğrulandı.
Zip’te IcedID Forked yükleyiciyi çalıştıran bir VBS betiği vardı. Çift tıklandığında IcedID botunun indirilmesine yol açar. Bunun dışında Forked IcedID’nin görüldüğü sadece birkaç kampanya var.
Şubat 2023’te Proofpoint’teki siber güvenlik analistleri bu varyantı keşfetti. Bankacılık işlevlerini ortadan kaldırdı, odağı bankacılık dolandırıcılığından veri yükü dağıtımına kaydırdı ve muhtemelen fidye yazılımı dağıtımını tercih etti.
TA571 tehdit grubu, kötü amaçlı yazılım dağıtımı için genellikle 404 TDS kullanıyor ve Eylül 2022’den beri araştırmacılar 404 TDS’yi izliyor.
Bu kampanyalarda tehdit aktörlerinin aşağıdaki kötü amaçlı yazılımları yaydığı tespit edildi:-
TDS, web trafiğini kötü amaçlı yazılım ve kimlik avı amacıyla kullanılan operatör sunucuları üzerinden yönlendirir. 404 TDS muhtemelen Proofpoint’in çeşitli kampanyalarıyla bağlantılı olarak çeşitli aktörlere paylaşılıyor/satılıyor.
Proofpoint’teki güvenlik uzmanları, TA571 enfeksiyonlarının oluşturduğu fidye yazılımı tehlikesinden oldukça eminler çünkü bu tehdit grubu, kötü amaçlı e-postalar gönderen tanınmış bir spam dağıtıcısıdır.
Forked IcedID varyantının TA571 tarafından sunulması alışılmadık bir durum ve bu nedenle Proofpoint, TA571’i hassas hedefleme ve korumalı alanlardan kaçınmak için ara “geçitler” kullanan gelişmiş bir aktör olarak görüyor.
Uzlaşma göstergeleri
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.