Tehdit Oyuncu’nun EDR’nin Kendini Yer değiştirmesi, araçlarını ve iş akışlarını ortaya çıkarır

   Eylül 10, 2025  Posted in GBHackers


Son nokta tespiti ve yanıt (EDR) çözümlerinin hem gücünün hem de doğal şeffaflığının altını çizen bir kader bükülmesinde.

Bu dağıtım yoluyla oluşturulan uyarıları araştırarak, Huntress Güvenlik Operasyon Merkezi (SOC), rakiplerin günlük iş akışları, araç kullanımı ve gelişen tradecraft hakkında benzeri görülmemiş bir fikir kazandı.

Huntress’in şeffaflık ve toplum eğitimine olan bağlılığı, hedef ev sahibinin kötü niyetli olduğunu doğruladıktan sonra ayrıntılı bulguların yayınlanmasına yol açtı.

Ekip, gizlilik yükümlülüklerini ve tehdit yayımını dikkatlice dengeleyerek, aktörün güvenlik yazılımını nasıl araştırdığını ve benimsediğini, otomasyon için yapay zekayı nasıl kullandığını, Evilginx’in koşu örneklerini avladığını ve birkaç ay boyunca karmaşık keşif kampanyalarını düzenlediğini gösteren EDR verilerini paylaştı.

Efsane, düşman bir Huntress reklamını Google’daki Bitdefender’ı keşfederken tıkladığında başladı.

Bitdefender'ın aramanın bir avcı denemesine nasıl yol açtığını gösteren tarayıcı geçmişi.
Bitdefender arayışının bir avcı denemesine nasıl yol açtığını gösteren tarayıcı geçmişi.

Tarayıcı geçmiş analizi, bir avcı denemesine yol açan bir karşılaştırma bağlantısını takip etmeden önce Bitdefender’ı değerlendirdiklerini ortaya koydu.

Oyuncu, Avcı Temsilcisini indirip kurdu – sonraki her eylemi anlatacak. Ek eserler, tarayıcı koruması uzantısı da dahil olmak üzere Malwarebebytes’e ilgi gösterdi.

Ancak, önemli bir kırmızı bayrak ortaya çıktı: makine adı, önceki saldırı olaylarında izlenen bir eşleşti.

Huntress araştırmacıları, sofistike bir tehdit oyuncunun farkında olmadan şirketin temsilcisini kendi saldırı makinelerine kurduğunu keşfetti.

Sonraki uyarılar kötü amaçlı yazılım yürütmesine işaret ettiğinde, SOC analistleri ev sahibinin kötü niyetli doğasını doğruladı ve aktörün faaliyetlerinin tam kapsamını incelemeye yöneldi.

AI, Kimlik avı ve proxy hizmetleri

EDR telemetri, aktörün operasyonlarının zengin bir zaman çizelgesini yakaladı. Başlangıçta, Make.com gibi otomasyon yazılımlarını araştırdılar ve Telegram Bot API’lerini otomatik olarak başlatmak için iş akışlarına entegre ettiler.

Telegram bot API'lerine daha derin kazma.
Telegram bot API’lerine daha derin kazma.

Haftalar boyunca, düşman bu iş akışlarını geliştirdi-hedef organizasyonları telgraftan “ipuçları” yoluyla tanımlamak, Google Translate aracılığıyla mesajları çevirmek ve AI ile çalışan CSV’den yararlanmak ve Toolbaz AI ve Explo AI gibi asistanları yazmak.

Keşif taktikleri, aktif EvilGinx örneklerini aramak ve bu sunuculara erişmek için kayıt girişimlerini aramak için Censys’i kullanmayı içeriyordu.

SOC ayrıca Bloodhound, GraphSpy ve Team Filtrasyonu gibi keşif ve numaralandırma araçlarının izlerini gözlemledi.

Lunaproxy ve NSTBrowser fiyatlandırma sayfalarına yapılan ziyaretler, kötü niyetli trafiği gizlemek için konut vekillerine ve anti-tespit tarayıcılarına bir yatırım olduğunu gösterdi.

Ayrıca, tarayıcı girişleri, ReadyContacts ve Infoclutch aracılığıyla kurumsal tedarik zincirleri hakkında kapsamlı araştırmalar ortaya koydu.

UrlScan ve Virustotal’ın sık kullanımı, kötü amaçlı yazılım örnekleri ve kimlik avı alanlarına gerçek zamanlı bilgiler sağlamıştır.

Günlük ritimler ve bölgesel odak

Tarayıcı etkinliği zaman damgalarını haritalayarak Huntress, 29 Mayıs-9 Temmuz 2025 arasında günde çalışan bir saatlik bir grafik oluşturdu. Aktörün programı 12-14 saat yoğun yoğun gün arasında dalgalandı ve iki saatlik kısa oturumlar.

Tarayıcı etkinliklerine dayanarak günde saat sayısının grafiği (etiket alternatif tarihleri).
Tarayıcı etkinliklerine dayanarak günde saat sayısının (etiket alternatif tarihleri) çalıştı.

Yoğun günlerde ayrıntılı arızalar ağır bankacılık araştırmaları, keşif sitesi ziyaretleri ve AI araç denemeleri gösterdi.

Genel olarak, üç ay boyunca, tehdit oyuncusunun süreçlerini nasıl geliştirdiği konusunda bir evrim gördük, AI’yı iş akışlarına dahil etti.

Tehdit oyuncunun aylar boyunca gördüğümüz bazı faaliyetlerine genel bir bakış.
Aylar boyunca gördüğümüz tehdit oyuncunun faaliyetlerinden bazılarına genel bir bakış.

Özellikle, düşman birkaç gün Nijeryalı bankacılık ve kripto para birimi borsalarına odaklanarak hedefleme tercihlerine odaklandı.

Saldırı makinesi bir ABD West Coast saatinde çalışmasına rağmen, kurban araştırması finans, hükümet ve teknoloji dahil olmak üzere küresel sektörleri kapsadı.

Ev sahibinin kötü niyetli durumunu onayladıktan sonra, Huntress analistleri geriye dönük avlar gerçekleştirdi, 2.400’den fazla uzlaşmış kimliği ortaya çıkardı ve yeni kötü niyetli posta kurallarını ve oturum saldırısı girişimlerini engelledi.

Bu alıştırma, düşmanca altyapıya karşı yüksek güven tespitleri üretti ve gelecekteki olaylara hızlı ve kesin yanıtlar sağladı.

Huntress’in soruşturmayı yayınlama kararı, katı gizlilik taahhütlerini savunucuları güçlendirme misyonu ile dengeler.

Dünya çapında gerçek saldırgan davranışını (düşük bağlamsal analiz) yansıtan ham EDR telemetrisini paylaşarak, güvenlik ekipleri Tradecraft’ı daha iyi tahmin edebilir, algılama kurallarını geliştirebilir ve paydaşları gelişen tehdit manzarası hakkında eğitebilir.

Özünde, bu vaka çalışması EDR’nin ikili vaadini örneklendirir: savunucuların bir adım önde kalmasını sağlarken saldırgan tekniklerini ortaya çıkarmak.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link