Temmuz ayında yeni bir kimlik avı ve kötü amaçlı yazılım kampanyası dalgası yaşandı. ANY.RUN sandbox’taki analist ekibi tehdit ortamındaki tüm gelişmeleri yakından izliyor ve X hakkındaki analizlerini paylaşıyor. İşte bu ay tespit ettikleri kampanyalardan bazıları.
SharePoint Kimlik Avı Kampanyası
11 Temmuz’da, ANY.RUN sanal alanı SharePoint’i kullanan bir kimlik avı kampanyasında artış tespit edildi. Sadece 24 saat içinde, 500’den fazla SharePoint kimlik avı örneği hizmete yüklendi.
Kampanyada kullanılan meşru SharePoint hizmeti, güvenlik sistemleri tarafından tespit edilmekten kurtulmayı ve saldırı beklemeyen kullanıcılara güvenilir görünmeyi sağladı.
Saldırı Şu Şekilde Gerçekleşti:
- Kampanya, içerisinde bağlantı bulunan bir kimlik avı e-postasıyla başlatıldı.
- Bağlantı, kullanıcıları SharePoint’te depolanan ve başka bir bağlantı içeren bir PDF dosyasına yönlendiriyordu.
- Bağlantıya tıklayan kullanıcılardan bir CAPTCHA çözmeleri istendi; bu da güvenlik sistemlerinin kampanyayı tespit edip engellemesini zorlaştırdı.
- Son olarak kullanıcılar sahte bir Microsoft oturum açma sayfasına yönlendirildi ve burada kimlik bilgilerini girmeleri istendi.
Bakın Bu saldırının sandbox analizi.
Bu tür saldırıların yüksek hacmi nedeniyle ANY.RUN, kullanıcıları olası tehlike konusunda uyarmak için “olası-kimlik-avcılığı” ve “sharepoint” adlı iki yeni etiket tanıttı.
Sandbox oturumlarına ayrıca kullanıcıları uyaran bir uyarı mesajı eklendi: “Dikkatli olun! Giriş bilgilerinizi girmeyin.”
Strela Stealer WebDAV aracılığıyla dağıtıldı
ANY.RUN tarafından gözlemlenen bir diğer kampanya ise Strela Stealer adlı kötü amaçlı yazılımın gizlenmiş toplu iş dosyaları aracılığıyla dağıtılmasını içeriyordu.
Olay şöyle gelişti:
- Kampanya, net ve rundll32 işlemlerini başlatan bir PowerShell betiğini tetikleyen gizlenmiş bir toplu iş dosyasıyla başladı.
- Strela hırsızı, net.exe’yi kullanarak ‘davwwwroot’ klasörü içeren bir komut ve kontrol (C2) sunucusunu bağladı ve WebDAV kullanarak bundan 64 bitlik bir DLL dosyası topladı.
- hxxp://45 adresinde Strela hırsızı olan yaklaşık bin DLL dosyası bulundu[.]9.74[.]32[:]8888.
Yürütme sırasında kötü amaçlı yazılım WordPad’i istismar eder. Strela için C2 sunucuları, yük ile aynı ana bilgisayarda bulunuyordu.
ANY.RUN deneme ortamında analizi görün.
Gizlenmiş BAT dosyası kolayca gizlenmesi kaldırılabilir. Komut dosyası, ayrı değişkenlerde saklanan sembollerden oluşur. Komutları yeniden birleştirmek için, değişkenleri atanmış sembollerine geri değiştirmek gerekir. Komut dosyasının gizlenmesi kaldırılmış bir sürümü ANY.RUN’da kullanılabilir hale getirildi kamuya açık depo.
Bu kampanya ile ilgili daha fazla ayrıntı bulmak için şunu kullanabiliriz: Tehdit İstihbarat Araması40’tan fazla gösterge ve yapıt türü ile bunların kombinasyonlarını kullanarak kötü amaçlı yazılım ve kimlik avı aramamıza olanak tanıyan bir tehdit portalı.
Bunu yapmak için, bu kötü amaçlı yazılımın kullandığı benzersiz klasör adını commandLine parametresiyle kullanabilir ve şu sorguyu gönderebiliriz: commandLine:”davwwwroot*dll”.
Platform bize bu eserin bulunduğu 100 adet sandbox oturumunu (görev), ayrıca dosyaları ve olayları anında sağlıyor.
Kuruluşunuzun güvenliğine nasıl katkıda bulunabileceğini görmek için Threat Intelligence Lookup’ın deneme sürümünü talep edin.
DeerStealer Kötü Amaçlı Yazılımı Google Authenticator Kılığına Girdi
ANY.RUN tarafından keşfedilen en son kampanyalardan biri, imzalı bir DeerStealer kötü amaçlı yazılımının dağıtımını içeriyordu. Kampanyanın kötü amaçlı yazılımı Google Authenticator olarak gizlediği ve Github’da barındırdığı dikkat çekiciydi.
İşte detaylar:
- Enfeksiyon zinciri, resmi Google Authenticator indirme sayfasının bir kopyası olan sahte bir web sitesiyle başladı.
- “İndir” düğmesine tıkladıktan sonra Github’dan sahte bir Google Authenticator dosyası indirilecektir. Dosya 2024-07-17 tarihinde Reedcode Ltd tarafından seri numarasıyla imzalanmıştır. [5459 67FF 5732 8859 C677 4F85 3F6B 7F18].
- Sistemde çalıştırıldığında, hırsız çalınan verileri dışarı sızdırmaya başlayacaktır.
Sızdırma, çalınan kullanıcı verilerini içeren PKZIP arşivlerini 0x0c anahtarıyla XOR’layarak ileten HTTP POST istekleri aracılığıyla gerçekleşir. Çalınan günlükler, “fedor_emeliyanenko_bog” kullanıcı adına sahip bir hesap tarafından oluşturulan bir Telegram sohbetine gönderilir.
DeerStealer, API fonksiyon adları için şifreleme kullanır, sarmalama yoluyla API çağrıları yapar ve kodunu gizler.
Saldırganlar altyapılarını sürekli değiştirdiğinden, bazı örnekler artık çalışmıyor olabilir. Tespiti sağlamak için ANY.RUN’da Suricata IDS kullanın, MITM proxy’siyle birlikte FakeNet özelliğini kullanmanızı öneririz. Bu, sorunu çözmeye ve tespit yeteneklerini iyileştirmeye yardımcı olacaktır.
ANY.RUN Sandbox ile Kimlik Avı ve Kötü Amaçlı Yazılımları Açığa Çıkarın
ANY.RUN sanal alanı, tamamen etkileşimli Windows ve Linux VM’lerini kullanarak kötü amaçlı yazılım ve kimlik avı kampanyalarına yönelik derinlemesine araştırmalar yürütmenizi sağlar. Dosyanızı veya URL’nizi hizmete yükleyin ve enfeksiyonun tam resmini ortaya çıkarmak için gereken tüm kullanıcı etkileşimlerini gerçekleştirin.
Servis ayrıca otomatik tespit yetenekleriyle donatıldı, tehditleri 40 saniyeden kısa sürede tespit ediyor ve numunenin tehdit seviyesi ve kötü niyetli faaliyetleri hakkında kesin bir karar ve rapor sağlıyor.
Request a 14-day free trial of ANY.RUN to try everything the service has to offer!