Meşru uzaktan izleme ve yönetim (RMM) araçlarından yararlanan sofistike bir siber kampanya, özellikle Fransa ve Lüksemburg’taki Avrupa kuruluşları için önemli bir tehdit olarak ortaya çıktı.
Kasım 2024’ten bu yana, tehdit aktörleri, RMM yükleyicilerine gömülü bağlantılar içeren özenle hazırlanmış PDF belgelerini kullanıyor ve geleneksel e -posta güvenlik önlemlerini ve kötü amaçlı yazılım algılama sistemlerini etkili bir şekilde atlıyor.
Bu saldırı vektörü, sosyal mühendislik taktiklerinde bir evrimi temsil eder ve meşru idari araçlara yerleştirilen doğal güvenden yararlanır.
Kampanya öncelikle Avrupa genelinde enerji, hükümet, bankacılık ve inşaat endüstrileri dahil olmak üzere yüksek değerli sektörleri hedefliyor.
Lüksemburg’a coğrafi odaklanma özellikle dikkat çekicidir, çünkü ülkenin kişi başına yüksek GSYİH’si onu finansal olarak motive edilmiş siber suçlular için cazip bir hedef haline getirir.
.webp)
Geniş ölçekli dağıtım yöntemleri kullanmak yerine, bu tehdit aktörleri, sektöre özgü PDF içeriği ve yerelleştirilmiş dil kullanımı yoluyla hassas hedefleme gösterir ve bu da bölgesel iş uygulamaları hakkında yakın bilgi olduğunu gösterir.
Saldırı metodolojisi, meşru iş adreslerini taklit eden veya benzer alanlardan yararlanan titizlikle hazırlanmış sosyal mühendislik e -postalarına odaklanmaktadır.
.webp)
Bu e -postalar genellikle hedef kuruluşlardaki üst düzey çalışanları taklit ederek güvenilirliklerini ve başarı oranlarını önemli ölçüde artırır.
Withecure analistleri, bu kampanyayı PDF meta verilerinin ve teslimat mekanizmalarının kalıp analizi yoluyla tanımladı ve meşru RMM satıcı platformlarına işaret eden gömülü doğrudan indirme bağlantılarının tutarlı kullanımına dikkat çekti.
Withecure araştırmacıları, teslimat mekanizmasında önemli bir taktik evrim kaydetti ve Zendesk gibi güvenilir platformların kötü niyetli PDF’leri dağıtmak için kötüye kullanılmasını gözlemledi.
Bu değişim, tipik olarak kimlik avı kampanyalarıyla ilişkili olmayan platformlardan yararlanarak e -posta güvenlik kontrollerinden kaçınmak için hesaplanmış bir çabayı temsil eder.
PDF dağıtım mekanizması
Bu kampanyanın teknik karmaşıklığı, meşru altyapının sadeliği ve kötüye kullanılmasında yatmaktadır.
Her PDF, saldırganlar Fleetdeck, Atera, Bluetrait ve Screenconnect gibi platformlarda hesaplar kaydettiğinde oluşturulan otantik RMM satıcı URL’lerine bağlanan tek bir gömülü doğrudan indirme bağlantısı içerir.
Bu URL’ler, yükleyicileri doğrudan saldırgan kontrollü hesaplara bağlayan benzersiz erişim tuşları içerir.
Example FleetDeck URL structure:
hxxps://agent[.]fleetdeck[.]io/[UNIQUE_IDENTIFIER]?winMeta veri analizi, Microsoft Word, Canva ve IlovePDF gibi ortak araçlar kullanılarak oluşturulan “Dennis Block” ve “Guillaume Vaugeois” dahil olmak üzere yedi farklı yazar adını ortaya koymaktadır.
Bu çeşitlilik muhtemelen tehdit ilişkilendirmesi için tutarlı meta veri kalıplarına dayanan tespit sistemlerinden kaçınmak için kasıtlı bir gizleme stratejisini temsil etmektedir.
Kampanyanın başarısı, yükleme sonrası ek yapılandırma gerektirmeyen ve kullanıcı kimlik doğrulaması adımları olmadan hemen uzaktan erişim sağlayan RMM araçlarının meşru doğasından yararlanmaktan kaynaklanmaktadır.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin