Hizmet olarak siber suç, Dolandırıcılık Yönetimi ve Siber Suç
Araç, Hacking Forumlarında Ayda 200 Dolara Kullanılabilir
Prajeet Nair (@prajeetspeaks) •
18 Mart 2024
Karanlık ağdaki yeni bir araç seti, uzaktan erişim hizmetlerini ve popüler e-ticaret platformlarını hedef alan bir saldırı silahı olarak ilgi görüyor.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Araç, “M762” adını kullanan bir tehdit aktörü tarafından geliştirildi ve XSS siber suç forumunda mevcut. Resecurity araştırmacıları tarafından hazırlanan bir rapora göre aylık 200 ABD Doları fiyatla satılıyor ve kurumsal VPN ağ geçitlerini, e-posta sunucularını, içerik yönetim sistemlerini ve barındırma panellerini hedefliyor.
TMChecker, kurumsal ağları tehlikeye atmak ve hassas verilere yetkisiz erişim elde etmek isteyen tehdit aktörlerine yardımcı olur. Microsoft geçen yıl, Eylül 2022'den bu yana, güvenliği ihlal edilmiş uzaktan erişim araçları kullanılarak insan tarafından gerçekleştirilen saldırıların sayısının üç katına çıktığını gözlemledi. Güvenlik uzmanları bu eğilimin 2024 yılında yoğunlaşacağını öngörüyor.
Araç, oturum açma denetimi, kaba kuvvet saldırıları ve uzaktan erişim ağ geçitlerinin hedeflenmesinin bir kombinasyonunu kullanır. Araştırmacılar, “Bu hibrit kaba kuvvet ve günlük tarama saldırı kiti, karanlık ağda daha yüksek değerli VPN ve RDP erişim tekliflerini satın almak için finansal kaynaklara veya bağlantılara sahip olmayan acemi tehdit aktörlerinin giriş engellerini önemli ölçüde azaltıyor” dedi. . “Aracın SaaS dostu kullanıcı modeli, daha az deneyimli saldırganların son derece imrenilen uzak ağ geçitlerine erişmesini önemsiz hale getiriyor. Daha deneyimli tehdit aktörlerinin elinde, TMChecker ve benzer araçlar, düşman operasyonlarının daha fazla kolaylık ve kolaylaştırılmasını sağlıyor.”
TMChecker şu şekilde çalışır:
- Kurumsal erişim giriş kontrolü: TMChecker, kurumsal erişim oturum açma kontrol yeteneklerini bir kaba kuvvet saldırı kitiyle birleştirir. ParanoidChecker gibi araçlara benzer şekilde güvenliği ihlal edilmiş e-posta ve sosyal medya günlük verilerini tarayabilir.
- Hedeflenen uzaktan erişim ağ geçitleri: Diğer bazı araçların aksine, TMChecker öncelikle Cisco, Citrix, Pulse Secure, FortiNet ve diğerleri gibi büyük satıcıların VPN ağ geçitleri de dahil olmak üzere kurumsal uzaktan erişim ağ geçitlerini hedefler. Ayrıca uzak masaüstü protokollerini ve cPanel, DirectAdmin ve Plesk gibi popüler barındırma panellerini de hedefliyor.
- Fidye yazılımı ve üst düzey saldırılar için saldırı vektörü: TMChecker'ın kurumsal uzaktan erişim ağ geçitlerine odaklanması, onu fidye yazılımları için bir saldırı vektörü haline getiriyor. Uzaktan erişim ağ geçitleri genellikle kurumsal ağlara sızmak isteyen siber suçlular için birincil izinsiz giriş vektörleri olarak hizmet eder.
- Aboneliğe dayalı model: TMChecker, 200 ABD Doları karşılığında aylık abonelik esasına göre sunulduğundan, sınırlı mali kaynaklara sahip olanlar da dahil olmak üzere çok çeşitli tehdit aktörlerinin erişimine açıktır. Aracın karanlık ağdaki uygun fiyatı ve bulunabilirliği, siber suçlular arasında yaygın şekilde benimsenmesine katkıda bulunuyor.
TMChecker ayrıca çeşitli sistemlerle de uyumludur. Aktif olarak aşağıdaki hizmetleri hedefler:
VPN'ler
- Cisco
- Citrix
- GlobalProtect
- Nabız Güvenliği
- FortiNet
- Büyük IP
E-Ticaret Siteleri
- OpenCart
- Magento
- PrestaShop
CMS'ler
Barındırma Panelleri
Diğer
- phpMyAdmin
- RDWeb
- OWA – Office 365/Outlook
- FTP'de
Çok sayıda ilk erişim aracısı ve fidye yazılımı operatörü, kurumsal VPN ve e-posta hesaplarına yönelik geçerli kimlik bilgileri için güvenliği ihlal edilmiş verileri doğrulamak amacıyla TMChecker'ı kullanıyor. Bir olayda, tehdit aktörleri Ekvador'daki bir devlet kuruluşunun e-posta sunucusunu hedeflemek için TMChecker'ı kullandı.
TMChecker geliştiricileri Telegram kanalında 3.270 aboneye sahip olduklarını söylüyor. Bu aboneler arasında ödeme yapan müşterilerin sayısı belirsizliğini koruyor.