Siber güvenlik araştırmacıları, tehdit aktörlerinin sofistike JavaScript tabanlı yönlendirme saldırıları sunmak için ölçeklenebilir vektör grafikleri (SVG) dosyalarını silahlandırdığı ortaya çıkan bir saldırı kampanyası belirlediler.
Bu teknik, görüntü formatlarına yerleştirilen doğal güvenden yararlanır ve kötü amaçlı aktörlerin, web tarayıcılarında açıldığında otomatik olarak yürütülen görünüşte zararsız vektör grafik dosyaları içine gizlenmiş JavaScript’i gömmelerine izin verir.
Siber suçlular güvenilir görüntü formatından yararlanır
Saldırı metodolojisi, genellikle XML tabanlı formatlarda meşru amaçlar için kullanılan CDATA bölümlerini kullanarak SVG dosyalarına kötü niyetli JavaScript kodunu yerleştirmeye odaklanır.
Gömülü komut dosyaları, çalışma zamanında ikincil yüklerin şifresini çözmek için statik XOR şifreleme anahtarlarını kullanır ve daha sonra ()) işlevi () yapıcısı aracılığıyla yönlendirme komutlarını yeniden yapılandırır ve yürütür.
Son kötü amaçlı URL’ler, ATOB () işlevi kullanılarak monte edilir ve kurban izleme jetonları ve saldırganların altyapısı için korelasyon tanımlayıcıları olarak ikili amaca hizmet eden Base64 kodlu dizeleri içerir.
Bu kampanyayı özellikle sinsi yapan şey, geleneksel güvenlik kontrollerini atlama yeteneğidir.
Yürütülebilir dosyalara veya makrolara dayanan geleneksel kötü amaçlı yazılım dağıtım yöntemlerinin aksine, bu teknik, dosyaları bırakmadan veya SVG’yi açmanın ötesinde kullanıcı etkileşimi gerektirmeden kod yürütme elde etmek için tarayıcı-doğal işlevselliği kullanır.
Statik algılama mekanizmalarını önlemek için nihai yönlendirme hedefi dinamik olarak monte edilirken, yük yapısı kasıtlı olarak kaçındır.
Sofistike teslimat
Bu kampanyanın arkasındaki tehdit aktörleri, sahtekâr veya taklit edilmiş gönderen kimlikleri kullanarak özenle hazırlanmış kimlik avı e-postalarıyla başlayan çok katmanlı bir teslimat stratejisi kullanıyor.
OnTinue raporuna göre, bu e -postalar zayıf e -posta kimlik doğrulama yapılandırmalarına sahip kuruluşları kullanıyor, özellikle DKIM kayıtlarından yoksun olan varlıkları ve DMARC politikaları olanları karantina veya reddetme modları yerine izlemeye ayarlıyor.
Saldırganlar, meşru varlıklara çok benzeyen ve iletişimlerinin güvenilirliğini artıran benzer alanlardan yararlanırlar.
Kampanya, öncelikle işletmeler arası hizmet sağlayıcılara, finansal kurumlara, kamu hizmetlerine ve hizmet olarak yazılım şirketlerine odaklanan hedefleme yaklaşımında taktiksel sofistike olduğunu göstermektedir.
Bu sektörler stratejik olarak seçilmiştir, çünkü yüksek miktarda harici iletişim beklerken, kötü niyetli e -postaları derhal şüphe uyandırma olasılığı daha düşüktür.
E -postaların kendileri, incelikli sosyal mühendislik temaları, kaçırılan çağrılar, ödeme bildirimleri ve görev yönetimi uygulamaları etrafında algılama olasılığını azaltmak için minimal içerik için tasarlanmıştır.
Kampanyadaki son gelişmeler arasında, daha hedefli ve bölgeye özgü saldırılara yönelik bir evrim öneren iniş alanlarında coğrafi işleme yeteneklerinin uygulanması yer alıyor.
Saldırgan altyapısı, statik filtreleme çabalarını karmaşıklaştıran randomize alan yapıları ve alt alan tabanlı barındırma kullanır.
Etki alanı itibar analizi, operasyonel güvenliği korumak için kampanya altyapısının düzenli olarak dönmesini öneren barındırma modelleri ile sürekli düşük veya bilinmeyen derecelendirmeleri ortaya koymaktadır.
Bu saldırı, tehdit peyzaj dinamiklerinde önemli bir evrimi temsil eder ve geleneksel kimlik avı metodolojilerini ileri kaçırma teknikleriyle köprüler.
Görüntü formatlarının güvenilir doğasından yararlanarak ve meşru tarayıcı işlevselliğinden yararlanarak, saldırganlar davranışsal ve imzaya dayalı algılama sistemlerinden kaçınırken hedeflerine ulaşabilirler.
Kampanyanın başarısı, geliştirilmiş e -posta kimlik doğrulama kontrollerine yönelik kritik ihtiyacı ve yürütmeden önce kapsamlı analiz gerektiren potansiyel güvenlik riskleri olarak formattan bağımsız olarak tüm dosya eklerinin tedavisinin önemini göstermektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now