Tehdit Aktörleri Erişim Kazanmak İçin Uzaktan Yönetici Araçlarını Kullanıyor

   Ekim 9, 2023  Posted in CyberSecurityNews


Tehdit Aktörleri Kurumsal Ağlar Üzerinden Erişim Sağlamak İçin Uzaktan Yönetim Araçlarını Kullanıyor

Son zamanlarda tehdit aktörleri, belirli bölgelerde yasaklı uygulamaların cazibesinden yararlanarak akıllıca hazırlanmış kampanyalar aracılığıyla kullanıcıları siber saldırılara karşı daha duyarlı hale getiren taktikler benimsedi.

Yakın zamanda yapılan bir kampanyada Çinli kullanıcılar, bu taktiği göstermek için sahte bir Telegram yükleyicisiyle kandırıldı.

CRIL’deki (Cyble Research and Intelligence Labs) siber güvenlik araştırmacıları, Rus kullanıcıları hedef alan bir kampanyaya dikkat çekti; tehdit aktörleri, aşağıdaki gibi kısıtlı uygulamaları taklit eden kimlik avı siteleri oluşturdu:



Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


Uzmanlar, RMS sağlayan, yasal işletim sistemi uygulamaları gibi görünen ancak kötü amaçlı yazılım dağıtan aşağıdaki kimlik avı etki alanlarını belirledi: –

  • ekspres-vpn[.]eğlence
  • sohbet ediyoruz[.]bilgi
  • Skype’a katıl[.]iletişim

Tehdit Aktörleri Uzaktan Yönetim Araçlarını Kullanıyor

Bu kimlik avı sitelerinde aynı RMS yürütülebilir dosyasının tutarlı kullanımı, bu saldırıların arkasında tek veya yakın koordineli bir tehdit aktörü grubunun olduğunu güçlü bir şekilde akla getiriyor.

Kimlik avı siteleri ya kötü amaçlı Kendiliğinden açılan bir arşiv (SFX) ya da bir RMS ikili dosyası dağıttı. Örneğin, bu kampanyadaki ExpressVPN kimlik avı sitesi, gerçek bir yükleyiciyi taklit eden ancak yürütüldüğünde kötü amaçlı yazılım dağıtan bir SFX arşivi indiriyor.

Yürütmeden sonra, SFX dosyası ‘HKCU\Software\WinRAR SFX’ Kayıt Defteri anahtarını değiştirir ve %temp% içinde belirli dosyalarla bir ‘expressvpn_windows_12.58.0.4_release’ klasörü oluşturur:-

  • expressvpn.exe: Bu dosya bir RMS yürütülebilir dosyasıdır.
  • expressvpn_windows_12.58.0.4_release.exe: Bu dosya temiz bir ExpressVPN yükleyicisidir.
SFX Arşivi
SFX Arşivi (Kaynak – Cyble)

SFX dosyası arka planda sessizce bir RMS yürütülebilir dosyasını çalıştırırken, aynı anda ExpressVPN kurulum sihirbazını kullanıcıları yanıltmak ve kafalarını karıştırmak için bir tuzak olarak kullanıyor.

Süreç Ağacı
Süreç Ağacı (Kaynak – Cyble)

Başlangıçta meşru bir araç olan RMS, TA505 ve diğer tehdit aktörlerinin kampanyalarında kullanıldı. Ticari olmayan kullanım için ücretsizdir ve uzaktan kontrol ve dosya aktarımı gibi özellikler sunarak birden fazla platformda uzaktan yönetimi destekler.

Yürütmeden sonra, ‘expressvpn.exe’ %temp% içinde benzersiz bir klasör oluşturur, ‘host.msi’yi bırakır, onu msiexec.exe aracılığıyla sessizce yükler ve RMS dosyalarını ‘C:\Program Files (x86)\Remote Manipulator System’ dizinine yerleştirir – Ev sahibi’.

RMS istemci yapılandırması, Kayıt Defteri Anahtarında onaltılık kodlanmıştır ve aşağıdaki gibi işlevlere ilişkin verileri içerir: –

  • Veri aktarımı
  • E-posta uyarıları
  • Uzaktan erişim
  • Ekran kaydı

Yapılandırma verileri farklı bölümler halinde düzenlenmiştir ve aşağıda bu bölümlerden bahsetmiştik: –

  • rms_inet_id_notification
  • güvenlik ayarları
  • Genel Ayarlar
  • rms_internet_id_settings
  • sertifika_ayarları
  • sreen_record_option
  • yerel ayarlar

RMS, geliştirici sunucularına bağlanmak, kurban ayrıntılarını ve uzaktan erişim kimlik bilgilerini içeren bir e-posta bildirimi göndermek ve saldırıları daha az karmaşık tehdit aktörleri için daha erişilebilir hale getirmek için ‘İnternet Kimliği’ içerir.

SMTP aracılığıyla “31.31.194.65” adresine (“mail.hosting.reg.ru” olarak çözümlendi) gönderilen bildirim e-postası, kurban verilerini iletmek için TCP üzerinden C&C iletişimlerini başlatır.

Ağ bağlantıları
Ağ Bağlantıları (Kaynak – Cyble)

Base64 kodlu XML’deki kurban verileri, 5655 numaralı bağlantı noktası aracılığıyla 77.223.124.212 ve 95.213.205.83 IP adreslerine gider. Ülke kodu, cihaz adı, işletim sistemi ayrıntıları ve yönetici ayrıcalık bayrağı da dahil olmak üzere kayıt defterinde saklanan yapılandırma verilerini yansıtır.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Uç noktalarda uzaktan yönetim araçları da dahil olmak üzere onaylanmamış uygulama yürütmeyi sınırlamak için uygulama beyaz listesini zorunlu kılın.
  • Sisteminizin servis listesini, özellikle “RManService” için düzenli olarak kontrol edin. Emin değilseniz devre dışı bırakmayı veya kaldırmayı düşünün.
  • Özellikle 5655 numaralı bağlantı noktasında giden trafiği izlemek için ağ trafiği araçlarını kullanın ve C&C sunucusu iletişimini işaret edebilecek olağandışı modeller için uyarılar ayarlayın.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link