Webdav & SCF, yakıt kimlik bilgisini sömürüyor


Kötü şöhretli bir yükleyici kötü amaçlı yazılım olan Socgholish, siber suçlular için kritik bir araca dönüştü ve genellikle kobalt grevi ve daha yakın zamanlarda Ransomhub fidye yazılımı gibi yükler sundu.

Darktrace’in tehdit araştırma ekibi, Ocak 2025’ten bu yana, tehdit aktörlerinin Socgholish’i sahte tarayıcı güncellemeleri ve WordPress gibi savunmasız CMS platformlarına JavaScript tabanlı saldırılarla uzatmak için Socgholish’i sömürdüğü birçok olay izledi.

HTML veya meşru web sitelerinin harici kaynaklarına kötü amaçlı komut dosyaları enjekte ederek, saldırganlar şüphesiz kullanıcıları güncelleme sayfalarını taklit etmeye yönlendirerek onları Socgholish yükleyicileri içeren zip dosyalarını indirmeye yönlendirir.

– Reklamcılık –
Google Haberleri
Ransomhub
Geri ihlal edilen web sitesine bağlantıları gösteren gelişmiş arama

Böyle bir dava, tehlikeye atılan site garajebeventleri içeriyordu[.]com, PackedBrick gibi Keitaro Trafik Dağıtım Sistemi (TDS) alanlarına veri indirmelerini ve sonraki bağlantılarını başlatma[.]DarkTrace’in cihaz olay günlüklerinde gözlemlendiği gibi yük alımı için com.

WebDAV ve SCF taktikleri aracılığıyla yenilikçi kimlik hırsızlığı

Enfeksiyon sonrası, Socgholish kampanyaları, eski protokollerden yararlanan sofistike kimlik bilgisi erişim tekniklerini ortaya koyuyor.

Darktrace analistleri, enfekte olmuş cihazların Web Dağıtılmış Yazarlık ve Sürüm (WebDAV) kullanarak zorunlu kimlik doğrulamasını 161.35.56 gibi harici uç noktalara yönlendirdiği durumları belirledi.[.]33.

Windows tarafından yerel olarak desteklenen bu protokol, HTTP üzerinden uzaktan dosya yönetimini mümkün kılar ve kullanıcı karmalarını çevrimdışı çatlama için saldırganlara maruz bırakan otomatik NTLM kimlik doğrulama girişimlerini başlatır.

Paralel bir taktikte, saldırganlar, UNC yollarını aynı harici IP’ye yerleştirerek ‘Thumbs.scf’ adlı kötü amaçlı kabuk komut dosyalarını (SCF) yüklediler.

Ransomhub
Harici uç noktada barındırılan UNC kaynağını gösteren ‘thumbs.scf’ dosyasının içeriği.

Kullanıcılar bu paylaşımlara eriştiğinde, sistemleri farkında olmadan NTLM karmalarını saldırgan kontrollü sunuculara gönderdi ve enfekte olan ana bilgisayardan doğrudan giden başlatma olmadan yanal hareketi kolaylaştırdı.

Bu yöntemler, pasif iç maruziyeti ve kimlik gerçeği hırsızlığı için sistem düzeyinde davranışlardan yararlanmaya yönelik kasıtlı bir kaymanın altını çizmektedir.

Ayrıca, kontrat sonrası faaliyetler genellikle Python tabanlı arka kapıları içerir ve etkilenen cihazlar dosyalara bağlanır.[.]Paket indirmeleri için org, kalıcı erişim sağlar.

Darktrace ayrıca Socgholish’in 443 numaralı bağlantı noktasındaki HTTP’ler üzerinden komuta ve kontrol (C2) iletişimini, ardından standart olmayan limanlarda bağlantı noktası atlama gibi savunma kaçakçısı taktiklerini kullanarak Ransomhub altyapısına bağlantılara dikkat çekti (örn. 2308, 2311).

Bu teknik C2 trafiğini gizler, temel çıkış filtrelerini atlar ve kötü amaçlı yazılımların gizliliğini artırır.

Socgholish’in fidye yazılımı bağlı kuruluşları ile kesintisiz entegrasyonu, ilk erişim yükleyicilerinin geniş bir ağın uzlaştığı siber suçlu ekosistemlerde büyüyen bir sinerjiyi vurgulamaktadır.

Saldırganlar sömürü sonrası oyun kitaplarını geliştirdikçe, bu gelişen öldürme zincirlerini izlemek fidye yazılımı dağıtımını önlemek için çok önemli hale gelir.

Uzlaşma Göstergeleri (IOCS)

GöstergeDeğerTanım
GarageBevents[.]com35.203.175[.]30Muhtemelen tehlikeye atılmış web sitesi
paketi[.]com176.53.147[.]97Socgholish Teslimat İçin Keitaro TDS Alanı
RednoseHorse[.]com176.53.147[.]97Socgholish Teslimat İçin Keitaro TDS Alanı
blackshelter[.]org176.53.147[.]97Socgholish Teslimat İçin Keitaro TDS Alanı
kara[.]com176.53.147[.]97Socgholish Teslimat İçin Keitaro TDS Alanı
sanal .urban-Ortodonti[.]com185.76.79[.]50Socgholish dağıtım son noktası
msbdz.crm.BestIntownpro[.]com166.88.182[.]126Socgholish C2 uç noktası
Ransomhub Python C2185.174.101[.]240Ransomhub C2 Altyapı
Ransomhub Python C2185.174.101[.]69Ransomhub C2 Altyapı
Ransomhub Python C2108.181.182[.]143Ransomhub C2 Altyapı

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link