Rakipler, sürekli değişen siber tehdit dünyasında başlangıç erişim ve kalıcılık için uzaktan amaçlı silahlar olarak uzaktan izleme ve yönetim (RMM) araçlarını daha sık kullanıyorlar.
Tipik olarak sistem yönetimi için BT uzmanları tarafından kullanılan bu meşru yazılım çözümleri, yetkisiz uzaktan kumanda, veri eksfiltrasyonu, fidye yazılımı dağıtım ve proxy tabanlı saldırıları kolaylaştırmak için tehdit aktörleri tarafından ortak olarak seçilmektedir.
Vahşi’de gözlemlenen yeni bir kampanya, saldırganların tek bir kötü niyetli yük içinde iki RMM ajanı attera ve sıçrama flaması uyguladığı bu eğilimi örneklendiriyor.
Bu yaklaşım sadece saldırganın operasyonel esnekliğini arttırmakla kalmaz, aynı zamanda bir RMM örneğinin kaldırılması diğerini sürekli sömürü için sağlam bıraktığından, olay tepkisini de karmaşıklaştırır.
Saldırı zinciri, tehlikeye atılan bir Microsoft 365 e -posta hesabı ile başlar ve sahte dosya paylaşımı olarak gizlenmiş kimlik avı yemini dağıtmak için tanıdık platformlara güvenden yararlanır.
E -posta, markalı simgeler ve gizlilik altbilgileri ile tamamlanan OneDrive bildirimlerini taklit ederek, alıcıları cdn.discordapp’ta barındırılan bir .docx dosyasına yol açan bir köprü tıklamaya çalıştırır.[.]com, yüksek kullanılabilirliği ve düşük inceleme nedeniyle kötü amaçlı yazılımların yayılması için sıklıkla kötüye kullanılmış bir ücretsiz içerik dağıtım ağı.
Kötü amaçlı yazılım sunumunda gelişen taktikler
Etkileşim üzerine kurban, uzantıları ustaca manipüle eden bir dosya indirir ve .msi’yi beklenen .docx dosya adına ekler, böylece Atera ajanının katılımı başlatırken gündelik incelemeden kaçar.
Bu görünür işlem, her ikisi de meşru alanlardan benign ağ etkinliği olarak maskeli baloya elde edilen Splashtop Salonu ve .NET çalışma zamanı 8’in sessiz arka plan kurulumları ile stratejik olarak eşleştirilmiştir.
Katılan kurulum, bir meşruiyet kaplama sağlayarak kullanıcı etkileşimi gerektirirken, katılımsız bileşenler kalıcı arka kapı oluşturur.
Bu RMM araçları, saldırganlara kapsamlı sistem erişimini sağlayarak, anında uzlaşma göstergeleri olmadan tuş vuruşu günlüğü, dosya transferleri ve komut yürütmeyi sağlayan kapsamlı sistem erişimi verir.
Bu durumda, saldırı tam yük dağıtımından önce durduruldu ve nihai niyet – fidye yazılımı şifrelemesi, hassas veri hırsızlığı veya bir ağ içindeki yanal hareket – spesifik olarak bırakıldı.
Bununla birlikte, kimlik avı e -postasında açıklanmayan alıcı listelerinin kullanılması, potansiyel olarak gevşek e -posta güvenlik duruşlarına sahip işletmelere yönelik geniş, fırsatçı bir hedefleme stratejisi önermektedir.
Bu taktik, özellikle T1566 (kimlik avı) ve T1219 (uzaktan erişim yazılımı), MITER ATT & CK çerçeveleri ile hizalanır ve rakiplerin e -posta ağ geçitleri ve uç nokta koruması gibi geleneksel savunmaları atlamak için sosyal mühendisliği teknik aldatma ile nasıl harmanladığını vurgular.
Gelişmiş tespit
Bu tür sofistike saldırıların tespiti, yükler meşru araçlardan ve ana bilgisayarlardan yararlandığından, imza tabanlı yöntemlerden ziyade davranışsal analiz ve anomali tespitine dayanır.
Anahtar sinyaller, cazibe .docx’ın yürütülebilir bir .msi’ye çözüldüğü ve indirildikten sonra otomatik yürütmeyi tetikleyen dosya uzantısı kurcalamayı içerir.
OneDrive gibi güvenilir hizmetlerin kimliğine bürünmesi, Link tabanlı kötü amaçlı yazılımlarda Ajan Tesla’yı içeren önceki kampanyalarda gözlemlenen bir teknik olan yük yükü dağıtım için ücretsiz dosya barındırma platformlarına güven gibi kırmızı bayrakları daha da arttırır.
Açıklanmayan Alıcı Adresi Standart dosya paylaşım protokollerinden sapıyor ve kütle dağıtım niyetini gösteriyor.
Rapora göre, AI odaklı motorlar bu göstergeleri gerçek zamanlı olarak ilişkilendirerek e-posta meta verilerinde, bağlantı meta verilerinde ve ağ akışlarındaki tutarsızlıkları işaretleyerek kurulumu önleyebilir.
Azaltmak için kuruluşlar, e-posta hesaplarında çok faktörlü kimlik doğrulamasını uygulamalı, katı URL filtreleme uygulamalı ve uç nokta algılama ve yanıt (EDR) araçları aracılığıyla anormal RMM kurulumlarını izlemelidir.
Dosya uzantılarını ve gönderen özgünlüğünü doğrulama konusunda kullanıcı eğitimi gibi beklenmedik uzaktan erişim oturumları için yüklü yazılım ve ağ trafiğinin düzenli denetimleri çok önemlidir.
Bu katmanlı taktikleri anlayarak, savunucular saldırı yaşam döngüsünü erken bozarak veri ihlalleri veya sistem kilitleme riskini azaltabilir.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir