Araştırmacılar, DarkGate ve PikaBot sağlayan, QakBot kimlik avı girişimlerinde kullanılan stratejilere benzer stratejiler kullanan yeni bir kampanya keşfettiler.
Bu işlem, çeşitli sektörlere çok sayıda e-posta gönderir ve iletilen kötü amaçlı yazılımın yükleyici yetenekleri olduğundan, alıcılar, keşif kötü amaçlı yazılımları ve fidye yazılımları gibi daha karmaşık tehditlere karşı savunmasız olabilir.
Cofense Intelligence, Cyber Security News ile paylaşılan bir raporda şunları belirtti: “Bunlar, ilk enfeksiyon olarak ele geçirilen e-posta dizilerini, kullanıcı erişimini sınırlayan benzersiz kalıplara sahip URL’leri ve QakBot dağıtımında gördüğümüzle neredeyse aynı olan bir enfeksiyon zincirini içeriyor.”
Enfeksiyon Zinciri
Bu kampanyada kullanılan taktikler, teknikler ve prosedürler (TTP’ler), kimlik avı e-postalarının hedeflenen hedeflere ulaşmasına izin vermesi ve dağıttıkları kötü amaçlı yazılımların karmaşık yeteneklere sahip olması nedeniyle bunu üst düzey bir tehdit haline getiriyor.
Ele geçirilen bir e-posta dizisi, kampanyanın başlangıcında müşterileri daha fazla katmanla birlikte kötü amaçlı bir URL’yi ziyaret etmeleri için kandırmak amacıyla kullanılıyor. Bu, kötü amaçlı veri yüküne erişimi, tehdit aktörleri tarafından sağlanan belirli kriterleri (konum ve web tarayıcısı) karşılayan kullanıcılarla kısıtlar.
Bu URL, kötü amaçlı yazılımları indirmek ve yürütmek için başka bir URL’ye bağlanan bir JavaScript programı olan JS Dropper olarak bilinen bir JS dosyasını içeren bir ZIP arşivini indirir. Bu noktada DarkGate veya PikaBot kötü amaçlı yazılımı bir kurbana başarıyla bulaştı.
Bu kötü amaçlı yazılım ailelerinin en belirgin özelliği, kullanıcının bilgisayarına başarılı bir şekilde yerleştirildikten sonra ek yükler sağlama yetenekleridir.
Tehdit aktörlerinin kurbanın bilgisayarına yüklemeyi seçtiği gelişmiş kripto madenciliği yazılımı, keşif araçları, fidye yazılımı veya diğer herhangi bir kötü amaçlı dosya, başarılı bir DarkGate veya PikaBot enfeksiyonu yoluyla teslim edilebilir.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
“Tehdit aktörleri, kimlik avı e-postalarını Microsoft ProxyLogon saldırılarından (CVE-2021-26855) elde edilebilecek ele geçirilmiş e-posta dizileri aracılığıyla yayıyor. Bu, Microsoft Exchange Server’daki tehdit aktörlerinin kimlik doğrulamayı atlamasına ve yöneticilerin kimliğine bürünmesine olanak tanıyan bir güvenlik açığıdır”, diye açıklıyor araştırmacılar.
E-postanın kötü amaçlı URL’si, QakBot kimlik avı saldırılarında bulunanlara benzer farklı bir yapıya sahiptir. Tehdit aktörleri, sundukları kötü amaçlı dosyalara erişimi kısıtlamak için bu URL’lere katmanlar ekleyerek onları tipik kimlik avı URL’nizden daha karmaşık hale getirdi.
Bu nedenle, kampanyanın tehdit aktörleri tipik bir kimlik avcısının becerilerinin ötesine geçen becerilere sahip olduğundan, çalışanların bu tür bir tehdidin mevcut olduğunun farkında olması gerekir.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.