Vietnam siber suç ekosistemiyle bağlantılı kötü niyetli aktörler, kötü amaçlı yazılım dağıtmak için Meta’nın sahibi olduğu Facebook gibi sosyal medya platformlarında vektör olarak reklamlardan yararlanıyor.
WithSecure araştırmacısı Mohammad Kazem Hassan Nejad, “Tehdit aktörleri, mağdurları dolandırıcılık, kötü amaçlı reklamcılık ve daha fazlasıyla hedeflemek için uzun süredir sahte reklamları bir vektör olarak kullanıyor” dedi. “İşletmelerin artık reklamcılık için sosyal medyanın erişiminden faydalanmasıyla birlikte, saldırganların cephaneliklerine ekleyecekleri yeni, oldukça kazançlı bir saldırı türü var: işletme hesaplarının ele geçirilmesi.”
Meta Business ve Facebook hesaplarını hedef alan siber saldırılar, Facebook’ta faaliyet gösteren işletmeleri ve bireyleri yağmaladığı bilinen Ducktail ve NodeStealer gibi faaliyet kümeleri sayesinde geçtiğimiz yıl popülerlik kazandı.
Siber suçluların kullanıcı hesaplarına yetkisiz erişim sağlamak için kullandıkları yöntemler arasında sosyal mühendislik önemli bir rol oynuyor.
Mağdurlara Facebook ve LinkedIn’den WhatsApp’a ve Upwork gibi serbest iş portallarına kadar çeşitli platformlar aracılığıyla ulaşılıyor. Bilinen bir diğer dağıtım mekanizması ise CapCut, Notepad++, OpenAI ChatGPT, Google Bard ve Meta Threads gibi sahte yazılımları desteklemek için arama motoru zehirlenmesinin kullanılmasıdır.
Bu gruplarda ortak olan bir unsur, URL kısaltıcı hizmetlerinin, komuta ve kontrol için Telegram’ın (C2) ve kötü amaçlı yükleri barındırmak için Trello, Discord, Dropbox, iCloud, OneDrive ve Mediafire gibi meşru bulut hizmetlerinin kötüye kullanılmasıdır.
Örneğin Ducktail’in arkasındaki aktörler, enfeksiyonu etkinleştirmek için iş ve işe alımla ilgili temaları kullanan yeni saldırı dalgalarıyla, Meta’nın İş platformunda faaliyet gösteren bireylere ve işletmelere sızmak için marka ve pazarlama projeleriyle ilgili tuzaklardan yararlanıyor.
Bu saldırılarda, potansiyel hedefler, Facebook reklamları veya LinkedIn InMail aracılığıyla Upwork ve Freelancer’daki sahte gönderilere yönlendiriliyor ve bu gönderiler, yukarıda adı geçen bulut depolama sağlayıcılarından birinde barındırılan bubi tuzaklı bir iş tanımı dosyasına bağlantı içeriyor ve sonuçta lider oluyor. Ducktail hırsızı kötü amaçlı yazılımın dağıtımına.
Zscaler ThreatLabz araştırmacıları Sudeep Singh ve Naveen Selvan, paralel bir analizde, hesapların 15 ile 340 dolar arasında bir fiyata satıldığını belirterek, “Ducktail kötü amaçlı yazılımı, Facebook işletme hesaplarını ele geçirmek için özel olarak tasarlanmış kodlarla, tarayıcılardan kayıtlı oturum çerezlerini çalıyor.”
“Operasyonun ‘ürünleri’ (yani saldırıya uğrayan sosyal medya hesapları), çok sayıda satıcının, kötü amaçlı faaliyetler için algılanan yararlılıklarına göre fiyatlandırılan hesaplar sunduğu, çalıntı sosyal medya hesaplarından oluşan yeraltı ekonomisini besliyor.”
Şubat ve Mart 2023 arasında gözlemlenen belirli bulaşma dizileri, son kötü amaçlı yazılımı indirip başlatmak için kısayol ve PowerShell dosyalarının kullanılmasını içeriyordu; bu da saldırganların taktiklerinin sürekli gelişimini gösteriyor.
Deney aynı zamanda X (eski adıyla Twitter), TikTok Business ve Google Ads’ten bir kullanıcının kişisel bilgilerini toplayacak ve otomatik bir şekilde sahte reklamlar oluşturmak için çalınan Facebook oturum çerezlerinden yararlanacak şekilde güncellenen hırsızı da kapsamaktadır. diğer eylemleri gerçekleştirmek için yükseltilmiş ayrıcalıklar elde edin.
Bir kurbanın ele geçirilen hesabını ele geçirmek için kullanılan birincil yöntem, bu hesaba kendi e-posta adresini eklemek, ardından kurbanın Facebook hesabının şifresini ve e-posta adresini değiştirerek onu hizmetten çıkarmaktır.
WithSecure, “Ducktail örneklerinde (en azından) Temmuz 2023’ten bu yana gözlemlenen bir diğer yeni özellik, tarayıcı veritabanlarını kilitleyen işlemleri sonlandırmak için RestartManager’ı (RM) kullanmaktır” dedi. “Bu yetenek genellikle fidye yazılımlarında bulunur, çünkü işlemler veya hizmetler tarafından kullanılan dosyalar şifrelenemez.”
Dahası, analiz karmaşıklığını ve algılamadan kaçınmayı artırmayı amaçlayan teknikleri birleştirme girişimi olarak görülen, son verinin şifresini çözmek ve çalışma zamanında dinamik olarak yürütmek için bir yükleyici kullanılarak gizlenir.
Tehdit aktörünün analizi engellemek için benimsediği diğer yöntemlerden bazıları, benzersiz şekilde oluşturulmuş derleme adlarının kullanımını ve kötü amaçlı yazılımı gizlemek için SmartAssembly, şişirme ve sıkıştırmaya güvenmeyi içerir.
Zscaler, grubun, dijital pazarlama alanında çalışan, bazılarının 500’den fazla bağlantısı ve 1.000 takipçisi olan kullanıcılara ait, ele geçirilmiş LinkedIn hesapları aracılığıyla temas kurduğu vakaları tespit ettiğini söyledi.
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
Becerilerinizi Güçlendirin
Araştırmacılar, “Yüksek miktarda bağlantı/takipçi, ele geçirilen hesaplara özgünlük kazandırmaya yardımcı oldu ve tehdit aktörleri için sosyal mühendislik sürecini kolaylaştırdı” dedi.
Bu aynı zamanda, kötü amaçlı yazılım saldırısının kurbanı olan bir kullanıcıdan çalınan LinkedIn kimlik bilgilerinin ve çerezlerin, hesaplarına giriş yapmak ve diğer hedeflerle iletişim kurmak ve erişimlerini genişletmek için kullanıldığı Ducktail’in solucan benzeri yayılımını da vurguluyor.
Ducktail’in, bu tür dolandırıcılık planlarını gerçekleştirmek için ortak araç ve taktiklerden yararlanan birçok Vietnamlı tehdit aktöründen biri olduğu söyleniyor. Buna aynı zamanda Mart 2023’ün sonlarından bu yana aktif olan ve Meta Business hesabı ele geçirmenin yanı sıra bilgi hırsızlığı da gerçekleştiren Duckport adlı Ducktail taklitçisi de dahildir.
Zscaler’in Ducktail olarak takip ettiği kampanyanın aslında Duckport olduğunu ve WithSecure’a göre C2 için kullanılan Telegram kanallarının farklılığı, kaynak kod uygulaması ve her ikisinin de ortak olması nedeniyle ayrı bir tehdit olduğunu belirtmekte fayda var. suşlar hiçbir zaman birlikte dağılmamıştır.
WithSecure, “Ducktail, sosyal mühendislik çabalarının bir parçası olarak sahte markalı web sitelerinin kullanımıyla uğraşırken, bu Duckport için yaygın bir teknik oldu” dedi.
“Dropbox gibi dosya barındırma hizmetlerine (şüphe uyandırabilir) doğrudan indirme bağlantıları sağlamak yerine Duckport, kurbanlara taklit ettikleri marka/şirketle ilgili markalı sitelere bağlantılar gönderiyor ve bu bağlantılar da onları kötü amaçlı arşivi indirmeye yönlendiriyor.” dosya barındırma hizmetlerinden (Dropbox gibi).”
Duckport, Ducktail’i temel alırken aynı zamanda bilgi çalma ve hesap ele geçirme yeteneklerini genişleten ve ayrıca C2 zincirinin bir parçası olarak ekran görüntüleri alan veya çevrimiçi not alma hizmetlerini kötüye kullanan yeni özelliklerle birlikte gelir ve esasen komutları iletmek için bir kanal olarak Telegram’ın yerini alır. kurbanın makinesine.
“Bu tehditlerin Vietnam merkezli unsuru ve yetenekler, altyapı ve mağduriyet açısından yüksek düzeydeki örtüşmeler, çeşitli tehdit aktörleri arasında aktif çalışma ilişkileri, bu tehdit grupları genelinde paylaşılan araçlar ve TTP’ler veya parçalanmış ve hizmet odaklı bir Vietnamlı siber suçlu olduğunu gösteriyor. ekosistem (hizmet olarak fidye yazılımı modeline benzer), Facebook gibi sosyal medya platformlarını merkeze alıyor.”