Kuzey Amerika’daki ulaşım ve lojistik şirketleri, çeşitli bilgi hırsızları ve uzaktan erişim truva atları (RAT) gönderen yeni bir kimlik avı kampanyasının hedefi oldu.
Proofpoint’e göre etkinlik kümesi, mevcut e-posta konuşmalarına kötü amaçlı içerik enjekte etmek amacıyla ulaştırma ve nakliye şirketlerine ait tehlikeye atılmış meşru e-posta hesaplarını kullanıyor.
Kampanyanın bir parçası olarak kullanılan 15’e kadar ihlal edilmiş e-posta hesabı tespit edildi. Bu hesapların ilk etapta nasıl sızdırıldığı veya saldırıların arkasında kimin olduğu şu anda net değil.
Kurumsal güvenlik firması Salı günü yayınlanan bir analizde, “Mayıs-Temmuz 2024 arasında gerçekleşen faaliyetler ağırlıklı olarak Lumma Stealer, StealC veya NetSupport’u içeriyordu” dedi.
“Ağustos 2024’te tehdit aktörü, yeni bir altyapı ve yeni bir teslimat tekniği kullanarak ve DanaBot ve Arechclient2’yi teslim etmek için yükler ekleyerek taktiklerini değiştirdi.”
Saldırı zincirleri, başlatıldığında kötü amaçlı yazılımı içeren bir sonraki aşama yükünü uzak bir paylaşımdan almak için Sunucu İleti Bloğu’nu (SMB) kullanan bir .URL dosyasına yönlendiren internet kısayolu (.URL) ekleri veya Google Drive URL’leri taşıyan mesajların gönderilmesini içerir.
Ağustos 2024’te gözlemlenen kampanyanın bazı varyantları, web tarayıcısında belge içeriğinin görüntülenmesiyle ilgili bir sorunu giderme bahanesiyle kurbanları DanaBot kötü amaçlı yazılımını indirmeye kandırmak için ClickFix adı verilen son zamanlarda popüler olan bir tekniğe de sarıldı.
Bu, özellikle kullanıcıların Base64 kodlu bir PowerShell betiğini terminale kopyalayıp yapıştırmasını ve böylece enfeksiyon sürecini başlatmasını sağlamayı içeriyor.
Proofpoint, “Bu kampanyalar, yalnızca taşımacılık ve filo operasyon yönetiminde kullanılacak yazılımlar olan Samsara, AMB Logistic ve Astra TMS’yi taklit etti” dedi.
“Ulaştırma ve lojistik sektöründeki kuruluşların hedef alınması ve hedef alınması, ayrıca yük operasyonları ve filo yönetimi için özel olarak tasarlanmış yazılımları taklit eden yemlerin kullanılması, saldırganın kampanyaları göndermeden önce hedef şirketin operasyonları hakkında araştırma yaptığını gösteriyor.”
Açıklama, Angry Stealer, BLX Stealer (diğer adıyla XLABB Stealer), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Taliban Stealer, X-FILES Stealer ve Yet Another Silly Stealer (YASS) olarak adlandırılan CryptBot ile ilgili bir varyant gibi çeşitli hırsız kötü amaçlı yazılım türlerinin ortaya çıkmasıyla birlikte geldi.
Ayrıca, kimlik avı e-postalarına yerleştirilmiş sahte bağlantılar aracılığıyla dağıtılan SnipBot kod adlı PEAPOD’un (diğer adıyla RomCom 4.0) halefi olan RomCom RAT’ın yeni bir sürümünün ortaya çıkmasını da takip ediyor. Kampanyanın bazı yönleri daha önce Temmuz 2024’te Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından vurgulanmıştı.
Palo Alto Networks Unit 42 araştırmacıları Yaron Samuel ve Dominik Reichel, “SnipBot, saldırgana komutları yürütme ve kurbanın sistemine ek modüller indirme yeteneği sağlıyor” dedi.
“İlk yük her zaman ya PDF dosyası olarak maskelenmiş yürütülebilir bir indiricidir ya da kurbana e-postayla gönderilen ve yürütülebilir bir dosyaya yönlendiren gerçek bir PDF dosyasıdır.”
RomCom ile enfekte olan sistemlerde daha önce de fidye yazılımı dağıtımları görülmüş olsa da siber güvenlik şirketi, bu davranışın yokluğunu vurgulayarak, kötü amaçlı yazılımın arkasındaki tehdit olan Tropical Scorpius’un (diğer adıyla Void Rabisu) saf finansal kazançtan casusluğa dönüşmüş olabileceği ihtimalini gündeme getirdi.