Yeni tanımlanmış bir siber saldırı kampanyası, ilk olarak 2022’de keşfedilen ve Conti gibi fidye yazılım gruplarıyla bağlantılı sofistike bir indirici olan Bumblebee kötü amaçlı yazılımının kalıcı ve gelişen tehdidini ortaya çıkardı.
Cyjax’ın yakın tarihli bir raporuna göre, tehdit aktörleri Bing arama motorunun kullanıcılarını hedefleyen kurnaz bir SEO zehirleme şeması düzenledi.
Bu kampanya, meşru yazılım paketlerini taklit eden sahte indirme web sitelerini, özellikle bir açık kaynak ağ teşhis aracı olan WINMTR ve bir video yönetim yazılımı olan Milestone Xprotect’ten yararlanır.
.png
)
“Milestonesys’in değiştirilmesi gibi otantik olanlara benzeyen alan adlarını yakından hazırlayarak[.]Com ”ile“ Milestonesys[.]Org ”Saldırganlar kullanıcıları Bumblebee kötü amaçlı yazılımları dağıtan kötü amaçlı yükleyicileri indirmeleri için kandırıyor.
Bu işlem, kullanıcıların doğrulaması daha zor olabilecek teknik ortamlarda sıklıkla kullanılan niş yazılım araçlarına odaklanan taktiklerde hesaplanmış bir kaymayı vurgular.
Gelişmiş SEO zehirlenme kampanyası
Bu kampanyanın mekaniğine giren saldırganlar, kötü amaçlı sitelerini SEO zehirlenmesi yoluyla “Winmtr İndir” ve “Milestone Xprotect İndirme” gibi sorgular için Bing arama sonuçlarının üstünde yer alacak şekilde optimize ettiler.
Nairobi’deki bir TrueHost bulut sunucusunda barındırılan bu siteler, ilk bakışta meşru şablonlar olarak görünür ve bazı varlıklar ilgisiz hizmetlere bir kapak olarak yönlendirilir.
Bununla birlikte, Bing’in sevk bağlantıları aracılığıyla erişildiğinde, siteler resmi indirme sayfalarının mükemmel bir kopyalarını sunar ve gerçek dosyaları truva atışlı MSI yükleyicileriyle değiştirir.
Bu yükleyiciler, harici bir etki alanında barındırılan “yazılım sunucusu[.]Çevrimiçi, ”“ Sürüm.dll ”adlı bir DLL ve modası geçmiş, kuşkulu bir şekilde imzalanmış bir ikili“ icardagt.exe ”dahil olmak üzere hem meşru yürütülebilir ürünleri hem de kötü amaçlı bileşenleri teslim edin.
Saldırı mekanizmasının teknik dökümü
MSIExec.exe aracılığıyla yürütüldükten sonra, kötü amaçlı yazılım, “.Life” TLD ile 13 karakterli dizelerle karakterize edilen bir dizi Bumblebee komut ve kontrol (C2) alanına bağlantıları başlatır.
Bu saldırının soyu, Zoom ve ChatGPT gibi yazılımı hedefleyen daha önceki Bumblebee kampanyalarına geri dönüyor, ancak daha az bilinen araçlara yönelik pivot, müstehcen, özel uygulamalara olan güvenden yararlanmayı amaçlayan stratejik bir evrimin altını çiziyor.
Bu kampanyanın sonuçları önemlidir, çünkü Bumblebee’nin ek yükler için bir geçit olarak hareket etme yeteneği, daha geniş saldırılar veya veri hırsızlığı için ayrıcalıklı erişimin kaldırılabileceği geliştirici ortamlarında özellikle tehlikeli hale getirir.
Bunu bir 2023 kampanyasıyla karşılaştırarak, ana akım yazılımdan niş araçlara geçiş, saldırganların denetimden kaçınma yaklaşımlarını geliştirdiklerini gösteriyor.
Bing’in arama sonuçlarındaki yüksek yerleşim, kullanıcıların meşruiyeti belirlemek için yalnızca arama motoru sıralamalarına güvenemediklerini de hatırlatır.
Siber güvenlik uzmanları, yazılımı indirip yüklemeden önce birden fazla tarayıcı veya güvenilir üçüncü taraf platformlarında uyanık çapraz referans kaynaklarını çağırmak zorunludur.
Tehdit aktörleri uyum sağlamaya devam ettikçe, bu kampanya giderek daha fazla aldatıcı sosyal mühendislik taktiklerine karşı koymak için artan farkındalık ve sağlam doğrulama uygulamalarının ihtiyacının altını çiziyor.
Uzlaşma Göstergeleri (IOC)
| Tip | Gösterge |
|---|---|
| Kimlik avı siteleri | Winmtr[.]kuruluş, kilometredaşlar[.]org |
| İndir Sitesi | yazılım sunucusu[.]çevrimiçi |
| Bumblebee C2 Alanları | 19AK90CKXYJXC[.]Life, o2u1xbm9xoq4p[.]hayat (ve diğerleri) |
| sürüm.dll (MD5) | A67FA1A060C07934C3DE8612AAA0BC2 |
| Winmtr.msi (SHA256) | 31dd6d070a65a648b2be9ea2edc9efca26762c3875a8dde2d018b0b064bc41e32 |
| Milestone_xprotect.msi (SHA256) | C6D5D2FFF2CC42ACA6DD5538F8351B8F2107A07A0DF1F3AD8D69B050951CA1E |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!