Kimlik Avına Karşı Koruma, DMARC, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Ateş Altında: ABD, İngiltere ve Hindistan; Saldırganlar Çoğunlukla DarkGate Infostealer Kötü Amaçlı Yazılım Kullanıyor
Jayant Chakravarti (@JayJay_Tech) •
20 Ekim 2023
Güvenlik araştırmacılarının raporuna göre, Vietnam’daki siber suç grupları, yaygın olarak kullanılan DarkGate bilgi hırsızı da dahil olmak üzere çok sayıda kötü amaçlı yazılım türüyle Birleşik Krallık, Amerika Birleşik Devletleri ve Hindistan’daki dijital pazarlama sektörünü hedef alıyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Güvenlik firması WithSecure’un Tespit ve Yanıt Ekibi, eylül ayında, pazarlama profesyonellerini iş tanımları ve maaş ayrıntıları gibi görünen kötü amaçlı dosyaları indirmeleri için kandırmak amacıyla tasarlanmış sosyal mühendislik kampanyaları yürüten çok sayıda Vietnamlı siber suç grubunu takip ettiğini söyledi.
Saldırganların kullandığı planlar arasında, bilgisayar belleği ve donanım üreticisi Corsair’de sahte iş fırsatlarının kullanılması ve bireyleri, adı verilen kötü amaçlı bir dosyayı indirmeye ikna etmek yer alıyor. Job Description of Corsair.docx
. Ayrıca Hint finans şirketi Groww’daki iş fırsatlarını Hindistan’da yem olarak kullandılar.
Araştırmacılar, Vietnam merkezli grupların kötü amaçlı yazılım çalmaya yönelik bilgileri muhtemelen siber suç pazarlarından satın aldığını ve bunları belirli sektörlere veya gruplara saldırırken birbirinin yerine kullandığını söyledi. Kampanyalarda kullanılan kötü amaçlı yazılım örnekleri arasında ünlü DarkGate bilgi hırsızının yanı sıra Ducktail, Lobshot ve Redline da vardı.
Araştırmacılar, saldırganların taktikleri ile kötü amaçlı yazılım seçiminin büyük ölçüde örtüştüğünü ve bu durumun herhangi bir kampanyayı belirli bir gruba atfetmeyi zorlaştırdığını söyledi. Ancak ortak nokta saldırganların Vietnam kökenli olması.
WithSecure araştırmacıları, “Tehdit aktörleri aynı amaç için birden fazla farklı araç edinip kullanabilir ve tek yapmaları gereken hedefler, kampanyalar ve tuzaklar bulmaktır” dedi. “Dolayısıyla, eğer etkinliklerini yalnızca kullandıkları bir araçla izleyecek olsaydınız, etkinliklerinin yalnızca bir alt kümesini görürdünüz.”
Şirket ayrıca, bireysel saldırganların veya grupların çok fazla bilgi sahibi olmadıklarını ve çabalarını kamufle etmek için hiçbir çaba göstermedikleri göz önüne alındığında, yüksek bir risk iştahına sahip göründüklerini söyledi. Araştırmacılar, içeriğin içerdiği meta verileri kolaylıkla inceleyebildiklerini söyledi. .lnk
, .pdf
Ve .msi
Kampanyada kullanılan dosyalar ve kodu kimin oluşturduğunun yanı sıra sabit disklerin kimlik numaraları ve dosya oluşturma zamanı ve konumu da belirlenir.
DarkGate Enfeksiyonları
Ağustos ayının ilk haftasında WithSecure, Vietnamlı bilgisayar korsanlarının DarkGate bilgi hırsızını tehlikeye atılmış bir Windows cihazına yerleştirmeye çalıştığını tespit etti. Bilgisayar korsanları kurbanı, adlı bir arşiv dosyasını indirmeye ikna etti. Salary and new products.8.4.zip
Kötü amaçlı bir VBS komut dosyası içeren bu dosyanın, bir AutoIT komut dosyası oluşturma aracını çalıştırmak üzere tasarlanmış olduğunu söylediler. Bu komut dosyası DarkGate uzaktan erişim Truva Atı kodunu çalıştırdı.
Güvenlik araştırmacıları kullanıma hazır DarkGate kötü amaçlı yazılımını ilk kez 2017 yılında siber suçlular tarafından tuş günlüğü tutma, ayrıcalık yükseltme, kripto para birimi madenciliği, tarayıcılardan bilgi çalma ve ek yüklemeler yapmak için bir “damlalık” olarak bir dizi eylemi gerçekleştirmek için kullanıldığında fark etti. uzaktan erişim yazılımı da dahil olmak üzere kötü amaçlı yazılımlar. Uzaktan erişim aracı, küçük yapı boyutuyla, ele geçirilen makinelerde üst düzey izinler elde etmesiyle ve antivirüs araçları tarafından algılanmayı önlemek için yüklerin karartılmasıyla tanınıyor.
DarkGate uygulamaları yaygın olarak bulunabilecek ve kullanılmaya devam edecek. Güvenlik firması Zerofox’un bildirdiğine göre, haziran ayında “RastaFarEye” takma adını taşıyan bir Rus siber suç forumu kullanıcısı, bir siber suç forumunda DarkGate’in reklamını yaptı ve kötü amaçlı yazılımın yıllık 100.000 dolar, ayda 15.000 dolar veya günlük 1.000 dolar olarak fiyatlandırıldığını bildirdi. O zamandan beri güvenlik araştırmacıları Amerika, Orta Doğu, Asya ve Afrika’da DarkGate enfeksiyonlarında keskin bir artış gördü.
İsveçli siber güvenlik şirketi TrueSec’in bildirdiğine göre Eylül ayında bir grup siber suçlu, kötü amaçlı yazılımı dağıtmak için Microsoft Teams’teki İK temalı sosyal mühendislik sohbet mesajlarını kullandı. Saldırganlar, SharePoint tarafından barındırılan bir dosyayı içeren kimlik avı mesajları göndermek için Office 365 hesaplarının güvenliğini ihlal etti. Changes to the vacation schedule.zip
(Görmek: DarkGate Kötü Amaçlı Yazılım Operatörleri Kimlik Avı Çılgınlığında).
Başka bir saldırıda saldırganlar, DarkGate kötü amaçlı yazılımını, adlı aldatıcı bir VBS komut dosyası aracılığıyla iletmek için güvenliği ihlal edilmiş bir Skype hesabını da kullandı. filename.pdf
Trend Micro, 12 Ekim tarihli bir raporda, alıcıları yasal bir PDF dosyası indirdiklerine inandırmak için bu yöntemin kullanıldığını söyledi.
WithSecure’daki araştırmacılar, Vietnamlı saldırganlarla bağlantılı kampanyalarda kötü niyetli kişiler göndermek için LinkedIn’i kullandıklarını söyledi. .zip
Dosyalar doğrudan mesaj yoluyla kurbanlara iletilir. Bu mesajlardan biri kurbanı “hxxps://g2″ URL’sine yönlendirdi.[.]by/jd-Corsair” ziyaret edilirse Google Drive’da barındırılan kötü amaçlı bir dosyaya yönlendirilir.
WithSecure’da kıdemli tehdit istihbaratı analisti Stephen Robinson, “DarkGate uzun süredir ortalıkta dolaşıyor ve yalnızca Vietnam’daki bu grup veya küme değil, birçok grup tarafından farklı amaçlarla kullanılıyor” dedi. “Bunun diğer tarafı, aktörlerin aynı kampanya için birden fazla araç kullanabilmesidir, bu da etkinliklerinin gerçek boyutunu tamamen kötü amaçlı yazılım tabanlı analizlerden gizleyebilir.”
Aynı saldırganların Temmuz ayında da Facebook Business hesaplarına erişimi olan kişilerin ve çalışanların cihazlarına Ducktail bilgi hırsızını bulaştırmak için benzer taktikler kullandığını söyledi. WithSecure bir blog yazısında şunları söyledi: “Ducktail’in Facebook Business hesabı odaklı ek bir işlevi var; böylece bir Facebook Business hesabı oturum çerezi bulursa saldırganı hesaba yönetici olarak eklemeye çalışır.”
Çağdaş kötü amaçlı yazılımların çoğu zaman yüksek düzeyde otomatikleştirilmiş doğasını vurgulayan Withsecure, Ducktail’in aynı zamanda “aktör tarafından ele geçirilen cihaza gönderilen sahte reklam kampanyalarını otomatik olarak oluşturma ve yayınlama işlevine sahip olduğunu” söyledi.