Tehdit Aktörlerinin PDF’leri Silah Haline Getirmek İçin Kullandığı Yaygın Taktikler


Tehdit Aktörlerinin PDF'leri Silah Haline Getirmek İçin Kullandığı Yaygın Taktikler

Siber güvenliğin geniş ve karmaşık dünyasında, tehlike genellikle en şüphelenmeyen köşelerde gizlenir ve korumalarımızın en az hazırlıklı olduğu yerlerden sinsice yaklaşır.

Tehditler, eski düşmanlar gibi ısrarla varlığını sürdürüyor ve anonimlik içinde kaybolma belirtileri göstermiyor.

Trustwave SpiderLabs’taki siber güvenlik analistleri yakın zamanda e-posta tabanlı ilk erişim için PDF’leri kullanan tehdit aktörlerinin sayısında bir artış gözlemledi ve bu da kaçınma taktiklerinde artan bir eğilimin altını çizdi.

PDF, cihazlar arasında tutarlı metin ve resim gösterimi sağlar; bu da onu aşağıdakiler gibi elektronik belgeler için ideal kılar:

  • Özgeçmişler
  • Kılavuzlar
  • Faturalar
  • Formlar

Tehdit aktörlerini PDF’ye çeken şeyler

Aşağıda, tehdit aktörlerini PDF dosyalarına çeken tüm önemli şeylerden bahsettik: –

  • Her yerde bulunma
  • Güvenilirlik
  • Tespit Zorluğu

Kullanılan Teknik ve Yöntemler

Aşağıda, tehdit aktörlerinin PDF dosyalarını silah haline getirmek için yaygın olarak kullandığı tüm teknik ve yöntemlerden bahsettik: –

  • Kötü Amaçlı Köprüler: PDF köprüsü, kullanıcıları harici kaynaklara yönlendiren tıklanabilir bir öğedir. Saldırganlar, Qakbot ve IcedID kampanyalarında görüldüğü gibi, genellikle kimlik avına veya kötü amaçlı yazılımlara yol açan kötü amaçlı bağlantılar yerleştirerek bundan yararlanır.
  • Kabbot: Qakbot’un gelişen taktikleri arasında, kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmak amacıyla genellikle meşru güncellemeler gibi görünen, yükleri dağıtmak için gizlenmiş kötü amaçlı bağlantılara sahip PDF’ler kullanmak yer alıyor.
PDF ekiyle başlayan tipik enfeksiyon zinciri (Kaynak – Trustwave)
  • Eylemler ve JavaScript: PDF’ler eylemler ve JavaScript aracılığıyla etkileşim sunar, ancak saldırganlar bunları kötü amaçlarla kullanabilir ve güvenlik riskleri oluşturabilir.
  • PDF Damlalığı: Araştırmacılar, Didier Stevens’ın pdfid aracı kullanılarak incelenen, gömülü bir Office Belgesini başlatan, JavaScript eylemi içeren bir PDF buldu.
  • PDF Reader’daki güvenlik açıkları: CVE-2021-28550 gibi PDF okuyucu güvenlik açıklarından yararlanmak, saldırganlara yama yapılmamış Adobe Acrobat okuyucuları üzerinde kontrol sağlayabilir. On yıl önce, PDF’ten yararlanmalar yaygındı, ancak alternatif PDF okuyucuların ve yerleşik tarayıcı desteğinin artmasıyla birlikte tehdit manzarası değişti ve açıktaki istismar azaldı.
  • Sosyal mühendislik: Tehdit aktörleri, hassas verileri ele geçirmeyi amaçlayan, genellikle sahte marka veya hizmet e-postalarındaki PDF dosyalarını açmaları için kullanıcıları kandırmak amacıyla sosyal mühendislik kullanıyor. Bu PDF’ler yasal görünür ancak kötü amaçlara hizmet eder.
  • Geri arama kimlik avı: Siber suçlular, aciliyet yaratmak ve kurbanları abonelik güncellemelerini aramaya teşvik etmek için genel, açıklanmayan gönderenlerden gelen PDF fatura e-postalarını kullanarak onları aldatıyor.
PDF, tanınmış bir markanın sahte satın alma bilgilerini gösteriyor (Kaynak – Trustwave)

PDF’ler, geniş kullanım alanları ve platformlar arası uyumlulukları nedeniyle tehdit aktörleri için en iyi seçim olmaya devam ediyor ve siber suçlular için sürekli bir fırsat sunuyor.

Uzlaşma Göstergeleri

Qakbot’un IoC’si (Kaynak – Trustwave)
PDF Dropper’ın IoC’si (Kaynak – Trustwave)
Geri Arama Kimlik Avının IoC’si (Kaynak – Trustwave)

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link