Proofpoint araştırmacıları, Google E-Tablolar’ı bir komuta ve kontrol (C2) platformu olarak kullanan karmaşık bir siber saldırı kampanyasını ortaya çıkardı.
Araştırmacılar tarafından “Voldemort” olarak adlandırılan bu kampanya, dünya genelindeki Windows kullanıcılarını hedef alıyor ve özel kötü amaçlı yazılımlar sunmak için hem yaygın hem de nadir teknikleri birleştiren yeni bir saldırı zinciri kullanıyor.
Bu makale kampanyanın inceliklerini, etkilerini ve ortaya çıkardığı daha geniş siber güvenlik zorluklarını ele alıyor.
Voldemort Kampanyasının Açıklanması
Proofpoint araştırmacıları, C2 operasyonları için Google E-Tablolar’ı benzersiz bir şekilde kullanması nedeniyle öne çıkan bir saldırı kampanyası tespit etti.
İçerisinde “Voldemort” adı verilen kötü amaçlı yazılım, C dilinde yazılmış, bilgi toplayıp ek yükler dağıtabilen özel bir arka kapıdır.
Saldırı zinciri, tehdit ortamında nispeten nadir görülen Google E-Tablolar’ın kötüye kullanımı da dahil olmak üzere bir dizi karmaşık tekniği içeriyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
5 Ağustos 2024’te başlayan kampanya, dünya çapında 70’ten fazla kuruluşu hedef alan 20.000’den fazla kötü amaçlı mesajı içeriyordu.
Tehdit aktörleri ABD, İngiltere, Fransa, Almanya, İtalya, Hindistan ve Japonya gibi çeşitli ülkelerin vergi makamlarını taklit ediyordu.
Sahte bir yetkilinin dilinde yazılan bu e-postalar, ele geçirilmiş etki alanlarından gönderilmiş olup, kimlik avı girişimlerine bir gerçeklik katmanı daha ekliyor.
Saldırı Zinciri Mekaniği
E-postalar, kurbanları InfinityFree’de barındırılan bir açılış sayfasına yönlendiren bağlantılar içeriyordu. “Belgeyi Görüntüle” düğmesine tıklandığında, sayfa kullanıcının tarayıcısında Windows ortamını kontrol ediyordu.
Tespit edildiğinde, kurban TryCloudflare tarafından tünellenen bir URI’ye yönlendiriliyor ve Windows Gezgini’nin açılması isteniyor.
Bu gizli yönlendirme tekniği, kötü amaçlı yazılımın yerel bir PDF dosyası gibi görünmesini sağlayarak kullanıcı etkileşimi olasılığını artırıyordu.
Kötü Amaçlı Yazılımın Teknik Analizi
Voldemort kampanyası, uzaktaki dosyaları yerelmiş gibi görüntülemek için Windows arama protokolünü (search-ms) kullanır.
Uzaktan erişim trojanlarını (RAT’ler) dağıtmak için kullanılan bu teknik, siber suçlular arasında giderek daha popüler hale geliyor. Kampanya ayrıca kötü amaçlı etkinliği daha da gizlemek için kaydedilmiş arama dosyası biçimlerini (.search-ms) kullanıyor.
Uygulama ve Yük Teslimatı
Kurban kötü amaçlı LNK dosyasını çalıştırırsa, WebDAV paylaşımından Python.exe’yi çalıştırmak için bir PowerShell komutu tetiklenir ve ana bilgisayara dosya indirmeden bir Python betiği yürütülür.
Bu betik sistem bilgilerini toplar ve tehdit aktörünün altyapısına gönderir. Kötü amaçlı yazılım daha sonra bir sahte PDF ve parola korumalı bir ZIP dosyası indirir, DLL ele geçirmeye karşı savunmasız meşru bir yürütülebilir dosyayı çıkarır ve yürütür.
C2 Operasyonlarında Google E-Tabloların Rolü
Google Altyapısından Yararlanma
Voldemort kötü amaçlı yazılımı, özel veya tehlikeye atılmış altyapı kullanmak yerine C2, veri sızdırma ve komut yürütme için Google E-Tablolar’ı kullanıyor.
İstemci belirteci kullanarak Google E-Tablolar ile kimlik doğrulaması yapan kötü amaçlı yazılım, verileri okuyabilir ve yazabilir; böylece platformu tehdit aktörleriyle bir iletişim kanalı olarak kullanabilir.
Kötü amaçlı yazılım, Google E-Tablolar aracılığıyla yürütülen dosya işlemleri ve sistem komutları da dahil olmak üzere bir dizi komutu destekliyor.
Aktörler bota komutlar gönderebiliyor ve bota durum mesajları gönderebiliyor; bunlar arasında kötü amaçlı yazılımın adı olan “Voldemort” da yer alıyor.
Sonuçlar ve Zorluklar
Siber Suç Özelliklerine Sahip APT Aktivitesi
Proofpoint, Voldemort kampanyasının büyük ihtimalle istihbarat toplamaya odaklanan gelişmiş kalıcı tehdit (APT) aktörü tarafından düzenlendiğini orta düzeyde güvenle değerlendiriyor.
Casusluk benzeri yetenekleri olmasına rağmen, kampanyanın hacmi ve hedeflemesi siber suç faaliyetleriyle daha yakından örtüşüyor ve bu da benzersiz bir tehdit karışımı sunuyor.
Google E-Tablolar gibi bulut hizmetlerinin kötü amaçlı olarak kötüye kullanılması, siber tehdit alanında artan bir eğilime işaret ediyor.
Bu tür taktikler, tehdit aktörlerinin meşru altyapıyı kullanmalarına olanak tanıyor ve siber güvenlik uzmanları için tespit ve azaltmayı daha zor hale getiriyor.
Voldemort kampanyası, kötü amaçlı amaçlar için gelişmiş teknikleri yenilikçi bulut tabanlı hizmetlerle birleştirerek siber saldırı stratejilerinde önemli bir evrimi temsil ediyor.
Tehdit aktörleri yeni teknolojileri benimsemeye ve kullanmaya devam ettikçe, siber güvenlik profesyonellerinin bu tür karmaşık tehditlere karşı savunma geliştirmede dikkatli ve proaktif olmaları gerekir.
Google E-Tablolar’ı bir C2 platformu olarak kullanmak, gelişmiş güvenlik önlemlerine ve meşru siber saldırı hizmetlerinin potansiyel kötüye kullanımına ilişkin farkındalığa duyulan ihtiyacı vurgular.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial