Tehdit Aktörleri Bilgi Çalan Kötü Amaçlı Yazılım Sunmak İçin Anormal Sertifikalar Kullanıyor


Tehdit Aktörleri Bilgi Çalan Kötü Amaçlı Yazılım Sunmak İçin Anormal Sertifikalar Kullanıyor

Kötü amaçlı sertifikalar, kullanıcıları kötü amaçlı web sitelerine veya yazılımlara güvenmeleri konusunda kandırmak için kullanılabildiğinden son derece tehlikeli olabilir.

Bu, aşağıdakiler de dahil olmak üzere çeşitli güvenlik tehditlerine yol açabilir: –

  • Veri ihlalleri
  • Kötü amaçlı yazılım enfeksiyonları
  • Kimlik avı saldırıları
  • Kullanıcı gizliliğinden ödün verme
  • Sistem bütünlüğünden ödün verme

ASEC’deki (AhnLab Güvenlik Acil Müdahale Merkezi) siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin bilgi hırsızlığı yapan kötü amaçlı yazılımlar sunmak için anormal sertifikalardan yararlandığını tespit etti.



Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


Teknik Analiz

Kötü amaçlı kod, rastgele girilen bilgiler içeren sertifikaları taklit ederek alışılmadık derecede uzun Konu ve Veren Adlarının oluşmasına neden olur.

Sertifika bilgileri Windows’ta gizli kalır ve bu yalnızca belirli araçlarla algılanabilir. Dolayısıyla yanlış sertifika ve ona ait bilgiler imza doğrulama açısından işe yaramaz.

İmzada İngilizce dışındaki diller ve özel karakterler kullanılıyor ve iki aydan uzun süredir çok az değişiklik görülüyor, bu da belirli bir niyete işaret ediyor.

İmza bilgileri
İmza bilgileri (Kaynak – ASEC)

Dağıtılan örnek, Powershell komutlarını indirip yürütemeyen, bulaşma sürecinde etkin olmayan, URL kodlu kötü amaçlı bir komut dosyasıdır.

Bu ayırt edici görünüme sahip iki farklı kötü amaçlı yazılım türü dağıtılmaktadır. Ve aşağıda bunlardan bahsettik:

  • LummaC2: LummaC2 bu dağıtımdaki en uyarlanabilir kötü amaçlı yazılımdır. Başlangıçta, kendi kendine yeten kötü amaçlı eylemlere sahipti, ancak şimdi yapılandırmaları C2’den indiriyor ve Amadey ve Clipbanker gibi diğer kötü amaçlı yazılımları yükleyebiliyor.
  • Rekor kıran: RecoreBreaker, diğer adıyla Raccoon Stealer V2, YouTube ve diğer kötü amaçlı yazılımlar aracılığıyla yayılıyor. C2’ye bağlanırken ‘GeekingToTheMoon’ gibi benzersiz bir Kullanıcı Aracısı değeri kullanır, ancak işlevselliği büyük ölçüde değişmeden kalır.

Her iki kötü amaçlı yazılım türü de bilgi hırsızlığı konusunda öne çıkıyor; potansiyel olarak tarayıcı hesapları, belgeler ve kripto para cüzdanları gibi hassas kullanıcı verilerini açığa çıkarıyor ve devam eden hasar için daha fazla kötü amaçlı kod yükleyebilir.

Arama motorları aracılığıyla kolayca bulunan kötü amaçlı sayfalardaki kötü amaçlı yazılımlar (SEO zehirlenmesi), genellikle yasa dışı yazılım anahtar sözcükleriyle bağlantılı olarak birçok kullanıcıyı tehdit eder.

Dağıtım sayfası
Dağıtım sayfası (Kaynak – ASEC)

“LummaC2’nin ilk örneği ‘/c2sock’a bilgi gönderdi, ardından değiştirilmiş sürümler ‘/c2conf’tan config’i indirdi ve her ikisi için de ‘/api’yi kullandı.

Tüm önemli değişiklikler ‘ver’ parametresi ile takip edilmektedir ve bunun yanında güncel sürüm 4.0’dır.

LummaC2'de C2 iletişimi
LummaC2’de C2 iletişimi (Kaynak – ASEC)

Amadey, kötü amaçlı yazılımları C2 aracılığıyla indirip yükler, ClipBanker kopyalanan cüzdan adreslerini değiştirir ve LummaC2, devam eden C2 iletişimi veya cüzdan manipülasyonu için eklenen kötü amaçlı yazılımları barındırabilir.

Kullanıcılar, sürekli değişen, bilgi çalan kötü amaçlı yazılımlar tarafından ciddi şekilde tehdit edilmektedir; bu durum, kişisel verileri ve dijital varlıkları korumak için dikkatli olmanın önemini ve güçlü siber güvenlik önlemleri almanın gerekliliğini vurgulamaktadır.

IOC’ler

eae39f18a51c151601eaf430245d3cb4
3c39098b93eb02c664d09e0f94736d95
89644b879046b97dccf71c68c88bcf42
bb2147e536ba06511ca8ea0b43a38ef7
e584f749b3b06d328001f0dea7a45617
331c7d351bc39efb36fd53c74c12c3a5
d8518e4fcbdbcc056a72a495430f37b6
2667f726136c0c848b30ec93cbd488b7
a0caecafa32e88f363942945f759b799
5dfe53ca9cd218a0ed129ebecc107cf0
7ed43c0f2093707f65369ad87832599c
dabe6f3ac23858a353c53382f92a217b
fa371f301369b16a7a379008cc1b4f64
6b5ad8f456dc6704638d5b3e38135a2b
dbee35748bd993f3bd4a822d362f309d
331031e51a9816db6aa48a7dcff41c28
32b4703cc03286e610094704925ca5e4
e5f82461f276bfb9150ab253b3474aa1
e6facedba218387d24d6908a59f1730b
8329b54e5b8921825579c3eae37ee8b4
6260a3ea150744248ed0a155d079d2c8
a998f8d64d6953e1fdaafba655c84120
cbc06399af416c6b5a5aec73890a15a1
613425d8623f118e45fb65619f71c387
5d2359723a3acac158320a48f1930e08
05ab72ab29765fa803a9a88e940cc826
b484fdc3953f4d84e24ba8dd309accf2
7974df61d5906ca20e146c1b8b8b3aaa
0970196d074cbf7221f5be8208c7cba3
63a0789d8bfa599da31a7620947d7a24
d8b5732afb4897035043ea05ad84f928
a82d9b679c0df2a62939ee21939e7e7a
4cf108debe0314357431525f01376a56
de9cb5f942d9f73a1a5659172372b099
aa4fb8876b89288a015fbf945da98d87
b64c3663718228679df20e9282727110
0ece25acd98b2cd0beebd20d3fc11fd1

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link