LinkedIn’in özel mesajlarından yararlanan, DLL yan yükleme teknikleri ve silahlı açık kaynaklı Python pen-test komut dosyalarının bir kombinasyonu yoluyla uzaktan erişim truva atları (RAT’lar) sağlayan, saldırganların geleneksel güvenlik tespitinden kaçarken kurumsal sistemler üzerinde kalıcı kontrol kurmasına olanak tanıyan karmaşık bir kimlik avı kampanyası tespit edildi.
Bu arşivler dört temel bileşen içerir: gerçek bir açık kaynaklı PDF okuyucu uygulaması, zararsız bir kitaplık görünümüne bürünen kötü amaçlı bir DLL dosyası, taşınabilir bir Python yorumlayıcısı ve meşruluk görünümü oluşturmaya yönelik bir tuzak RAR dosyası.
Dosya adları, “Upcoming_Products.pdf” veya “Project_Execution_Plan.exe” gibi alıcının sektördeki rolüne uyacak şekilde dikkatlice hazırlanır ve güvenilirliği artırır.
Yürütme üzerine, PDF okuyucu, kötü amaçlı DLL’yi, uygulamaların yerel dizin dosyalarına sistem dizinleri üzerinden öncelik verdiği bir teknik olan DLL’yi dışarıdan yükleme yoluyla yanlışlıkla yükler.
Kampanya, meşru iş belgeleri olarak gizlenen kötü amaçlı WinRAR kendi kendine açılan arşivlerine bağlantılar içeren hedefli LinkedIn mesajlarıyla başlıyor.
Bu, saldırganın kodunun güvenilir süreç altında çalışmasına ve aksi takdirde şüpheli etkinliği işaretleyebilecek uç nokta güvenlik araçlarını etkili bir şekilde atlamasına olanak tanır.
Kötü amaçlı veri daha sonra taşınabilir Python yorumlayıcısını dağıtır ve her oturum açmada otomatik yürütmeyi sağlayan kalıcı bir kayıt defteri Çalıştırma anahtarı oluşturur.
Python yorumlayıcısı, Python’un exec() işlevini kullanarak Base64 kodlu açık kaynaklı bir kabuk kodu çalıştırıcı komut dosyasını çalıştırır ve disk tabanlı yapılar oluşturulmasını önleyen bellek içi şifre çözmeyi etkinleştirir.
Bu teknik, belleği ayırırken ve son RAT yükünü enjekte ederken geleneksel antivirüs çözümlerini etkili bir şekilde atlatır.
Analiz sırasında gözlemlenen komuta ve kontrol (C2) iletişim girişimleri, uzaktan erişim truva atının konuşlandırıldığını doğruluyor ve saldırganlara veri sızıntısı, ayrıcalık yükseltme ve yanal ağ hareketi için sürekli erişim sağlıyor.
Bu Kampanya Neden Başarılı?
Bu saldırı vektörü, siber suçlular için üç kritik avantajdan yararlanıyor. Birincisi, sosyal medya platformları geleneksel e-posta güvenlik kontrollerini atlayarak güvenlik ekipleri için görünürlük açısından kör noktalar yaratıyor.
İkincisi, meşru, güvenilir WinRAR araçlarının ve açık kaynaklı Python pen-test komut dosyalarının silah haline getirilmesi, saldırganların imza tabanlı tespit sistemlerinin radarı altında çalışmasına olanak tanır.
Üçüncüsü, LinkedIn’in profesyonel bağlamı ve kurumsal hiyerarşiler hakkındaki kamuya açık bilgi zenginliği, ayrıcalıklı erişim kimlik bilgilerine sahip yöneticiler ve BT yöneticileri de dahil olmak üzere yüksek değerli bireylerin kesin olarak hedeflenmesine olanak tanır.
Açık kaynaklı pen-test komut dosyalarının kullanımı, saldırganların ilişkilendirme çabalarını karmaşık hale getirirken geliştirme maliyetlerini ve tespit risklerini azalttığı büyüyen bir eğilimi temsil ediyor.
Bu araçlar herkesin erişimine açık olduğundan ve güvenlik profesyonelleri tarafından geniş ölçüde güvenildiğinden, kötü niyetli kullanım genellikle otomatik tarama sistemlerinden kaçar.
Savunma Önerileri
Kuruluşlar, LinkedIn ve benzeri platformlardan indirilenlere e-posta ekleriyle aynı şüpheyle yaklaşan, sosyal medyaya özel güvenlik farkındalığı eğitimleri uygulamalıdır.
Çalışanların tehlikeli dosya türlerini, özellikle yürütülebilir arşivleri tanımaları ve şüpheli dosyaları açmadan önce zorunlu BT doğrulama protokolleri oluşturmaları konusunda eğitilmesi gerekir.
Güvenlik ekipleri, kurumsal cihazlardan kişisel sosyal medya erişimini denetlemeli ve bu platformlardan güvenli konumlara dosya indirilmesini kısıtlayan kontroller uygulamalıdır.
Uygulama kontrol politikaları, anormal Python etkinliği, özellikle de beklenmedik dizinlerden Base64 kodlu komut dosyası yürütme açısından uç noktaları izlerken yetkisiz Python yürütülebilir dosyalarını ve taşınabilir yorumlayıcılarını engellemelidir.
Bu kampanya, geleneksel e-posta kanallarının ötesine geçen, kuruluşların güvenilir iş platformlarından kaynaklanan tehditlere karşı güvenlik stratejilerini geliştirmelerini gerektiren, genişleyen bir saldırı yüzeyinin altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.