Siber güvenlik araştırmacıları, Bumblebee kötü amaçlı yazılımlarını dağıtmak için Bing arama sonuçlarını kullanan ve sonuçta Akira fidye yazılımı saldırılarının yıkılmasına yol açan gelişmiş bir arama motoru optimizasyonu (SEO) zehirleme kampanyası ortaya çıkardılar.
Temmuz 2025 boyunca aktif olan kampanya, özellikle meşru BT yönetim yazılımı arayan kullanıcıları hedef aldı ve tehdit aktörlerinin kurumsal ağlardan ödün vermek için güvenilir arama platformlarını nasıl silahlandırmaya devam ettiğini gösteriyor.
Saldırı, şüpheli olmayan kullanıcıların Microsoft’un Bing arama motorunda “Managemine Opmanager” aradıklarında başladı ve kötü amaçlı alan Opmanager’a yönlendirildi[.]Meşru yazılım satıcısının web sitesi yerine Pro.
Bu özenle hazırlanmış kimliğe bürünme sitesi, otantik yazılım paketiyle aynı görünen, ancak mağdur ağlarına ilk erişim sağlamak için tasarlanmış gömülü kötü niyetli bileşenler içeren trialengine-opmanager.msi adlı bir Truva atı MSI yükleyici dosyasına ev sahipliği yaptı.
Kötü niyetli yükleyicinin yürütülmesi üzerine, yazılım normal olarak çalıştığı görülüyor ve şüpheyi önlemek için meşru yönetilen opmanager uygulamasını yüklüyor.
.webp)
Ancak, yükleme işlemi sırasında, kötü amaçlı yazılım aynı anda windows onayı.exe işlemi aracılığıyla msimg32.dll adlı kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) dosyasını dağıttı.
DFIR rapor analistleri, bu sofistike tekniği meşru yazılım kurulumunun görünümünü korurken güvenlik kontrollerini atlamak için bir yöntem olarak tanımladılar.
Bumblebee kötü amaçlı yazılım, IP adreslerinde iki uzak sunucu ile komut ve kontrol iletişimi kurdu 109.205.195[.]211: 443 ve 188.40.187[.]145: 443 Etki Alanı Üretim Algoritması (DGA) alanlarını kullanma.
.webp)
İlk yürütmeden yaklaşık beş saat sonra, kötü amaçlı yazılım, 172.96.137’ye ek bir iletişim kanalı oluşturan ADGNSY.EXE olarak tanımlanan bir ADAPTIXC2 Beacon’u dağıttı.[.]160: 443, tehdit aktörlerine tehlikeye atılan ortama sürekli erişim sağlıyor.
Enfeksiyon mekanizması ve ayrıcalık artışı
Saldırının başarısı büyük ölçüde BT yönetim araçlarını hedeflemekten kaynaklandı ve kötü amaçlı yazılımları yürüten kullanıcıların Active Directory ortamlarında son derece ayrıcalıklı yönetici hesaplarına sahip olmalarını sağladı.
Bu stratejik yaklaşım, tehdit aktörlerine hemen yüksek erişim sağladı ve tipik olarak hedeflenen saldırılarda gerekli olan karmaşık ayrıcalık artış tekniklerine olan ihtiyacı ortadan kaldırdı.
Dahil olmak üzere yerleşik Windows yardımcı programlarını kullanan ilk keşiften sonra systeminfo– nltest /dclist:– whoami /groupsVe net group domain admins /domsaldırganlar backup_da ve backup_ea adlı iki yeni etki alanı hesabı oluşturdu.
Backup_ea hesabı, komutu kullanarak kurumsal yöneticiler grubuna stratejik olarak eklendi net group "enterprise admins" backup_EA /add /domsaldırganlara alan çapında idari ayrıcalıklar vermek.
Tehdit aktörleri daha sonra uzak masaüstü protokolü aracılığıyla etki alanı denetleyicilerine bağlandı ve NTDS.DIT dosyasını komutla Windows Backup Yönetici aracını kullanarak çıkardı: wbadmin.exe start backup -backuptarget:\\127.0.0.1\C$\ProgramData\ -include:"C:\windows\NTDS\ntds.dit,C:\windows\system32\config\SYSTEM,C:\windows\system32\config\SECURITY" -quiet.
Bu teknik, tüm etki alanı hesapları için şifre karma elde etmelerine izin verdi.
Kampanya, yük locker.exe kullanılarak Akira Ransomware dağıtımında sona erdi ve saldırganlar başlangıçtan sadece 44 saat içinde şifreleme elde etti.
Tehdit aktörleri, iki gün sonra çocuk alanlarından ödün vererek kampanyanın işletme çapında ağ yıkımına sistematik ve metodik yaklaşımını vurgulayarak kalıcılık gösterdi.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın