Tehdit Oyuncuları Bumblebee kötü amaçlı yazılımları zehirli bing SEO sonuçları ile dağıtıyor


Yeni tanımlanmış bir siber saldırı kampanyası, ilk olarak 2022’de keşfedilen ve Conti gibi fidye yazılım gruplarıyla bağlantılı sofistike bir indirici olan Bumblebee kötü amaçlı yazılımının kalıcı ve gelişen tehdidini ortaya çıkardı.

Cyjax’ın yakın tarihli bir raporuna göre, tehdit aktörleri Bing arama motorunun kullanıcılarını hedefleyen kurnaz bir SEO zehirleme şeması düzenledi.

Bu kampanya, meşru yazılım paketlerini taklit eden sahte indirme web sitelerini, özellikle bir açık kaynak ağ teşhis aracı olan WINMTR ve bir video yönetim yazılımı olan Milestone Xprotect’ten yararlanır.

– Reklamcılık –
Google Haberleri

“Milestonesys’in değiştirilmesi gibi otantik olanlara benzeyen alan adlarını yakından hazırlayarak[.]Com ”ile“ Milestonesys[.]Org ”Saldırganlar kullanıcıları Bumblebee kötü amaçlı yazılımları dağıtan kötü amaçlı yükleyicileri indirmeleri için kandırıyor.

Bu işlem, kullanıcıların doğrulaması daha zor olabilecek teknik ortamlarda sıklıkla kullanılan niş yazılım araçlarına odaklanan taktiklerde hesaplanmış bir kaymayı vurgular.

Gelişmiş SEO zehirlenme kampanyası

Bu kampanyanın mekaniğine giren saldırganlar, kötü amaçlı sitelerini SEO zehirlenmesi yoluyla “Winmtr İndir” ve “Milestone Xprotect İndirme” gibi sorgular için Bing arama sonuçlarının üstünde yer alacak şekilde optimize ettiler.

Bumblebee kötü amaçlı yazılım
Winmtr’nin sayfa içeriği[.]Org.

Nairobi’deki bir TrueHost bulut sunucusunda barındırılan bu siteler, ilk bakışta meşru şablonlar olarak görünür ve bazı varlıklar ilgisiz hizmetlere bir kapak olarak yönlendirilir.

Bununla birlikte, Bing’in sevk bağlantıları aracılığıyla erişildiğinde, siteler resmi indirme sayfalarının mükemmel bir kopyalarını sunar ve gerçek dosyaları truva atışlı MSI yükleyicileriyle değiştirir.

Bu yükleyiciler, harici bir etki alanında barındırılan “yazılım sunucusu[.]Çevrimiçi, ”“ Sürüm.dll ”adlı bir DLL ve modası geçmiş, kuşkulu bir şekilde imzalanmış bir ikili“ icardagt.exe ”dahil olmak üzere hem meşru yürütülebilir ürünleri hem de kötü amaçlı bileşenleri teslim edin.

Saldırı mekanizmasının teknik dökümü

MSIExec.exe aracılığıyla yürütüldükten sonra, kötü amaçlı yazılım, “.Life” TLD ile 13 karakterli dizelerle karakterize edilen bir dizi Bumblebee komut ve kontrol (C2) alanına bağlantıları başlatır.

Bumblebee kötü amaçlı yazılım
Bumblebee yürütme akışı.

Bu saldırının soyu, Zoom ve ChatGPT gibi yazılımı hedefleyen daha önceki Bumblebee kampanyalarına geri dönüyor, ancak daha az bilinen araçlara yönelik pivot, müstehcen, özel uygulamalara olan güvenden yararlanmayı amaçlayan stratejik bir evrimin altını çiziyor.

Bu kampanyanın sonuçları önemlidir, çünkü Bumblebee’nin ek yükler için bir geçit olarak hareket etme yeteneği, daha geniş saldırılar veya veri hırsızlığı için ayrıcalıklı erişimin kaldırılabileceği geliştirici ortamlarında özellikle tehlikeli hale getirir.

Bunu bir 2023 kampanyasıyla karşılaştırarak, ana akım yazılımdan niş araçlara geçiş, saldırganların denetimden kaçınma yaklaşımlarını geliştirdiklerini gösteriyor.

Bing’in arama sonuçlarındaki yüksek yerleşim, kullanıcıların meşruiyeti belirlemek için yalnızca arama motoru sıralamalarına güvenemediklerini de hatırlatır.

Siber güvenlik uzmanları, yazılımı indirip yüklemeden önce birden fazla tarayıcı veya güvenilir üçüncü taraf platformlarında uyanık çapraz referans kaynaklarını çağırmak zorunludur.

Tehdit aktörleri uyum sağlamaya devam ettikçe, bu kampanya giderek daha fazla aldatıcı sosyal mühendislik taktiklerine karşı koymak için artan farkındalık ve sağlam doğrulama uygulamalarının ihtiyacının altını çiziyor.

Uzlaşma Göstergeleri (IOC)

TipGösterge
Kimlik avı siteleriWinmtr[.]kuruluş, kilometredaşlar[.]org
İndir Sitesiyazılım sunucusu[.]çevrimiçi
Bumblebee C2 Alanları19AK90CKXYJXC[.]Life, o2u1xbm9xoq4p[.]hayat (ve diğerleri)
sürüm.dll (MD5)A67FA1A060C07934C3DE8612AAA0BC2
Winmtr.msi (SHA256)31dd6d070a65a648b2be9ea2edc9efca26762c3875a8dde2d018b0b064bc41e32
Milestone_xprotect.msi (SHA256)C6D5D2FFF2CC42ACA6DD5538F8351B8F2107A07A0DF1F3AD8D69B050951CA1E

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link