Siber güvenlik araştırmacıları. Azarlanmış.
Fortinet FortiGuard Labs, kimlik avı saldırısının, uzlaşılmış sistemler, sifon duyarlı verileri, sifona duyarlı verileri, sifona duyarlı verileri, sifona duyarlı verileri ve ikincil eklentilere hizmet vererek işlevselliğini genişletmek için bir dizi gelişmiş kaçırma tekniğini içerdiğini söyledi.
“Bunlar arasında, aşamalı bir yük geliştirmek için kolay bir programlama dili (EPL) kullanımı, kötü amaçlı işlemleri gizlemek ve uyarı tetikleyicilerini önlemek için güvenlik araçlarını devre dışı bırakma, komut ve kontrol (C2) iletişimlerini karşılıklı TL’leri (MTLS) kullanarak, ek yüklerin uygulanması için çeşitli yöntemleri desteklemeyi ve hatta popüler uzaktan erişim araçlarını kurma” dedi.
EPL, geleneksel Çince, basitleştirilmiş Çince, İngilizce ve Japon varyantlarını destekleyen belirsiz bir görsel programlama dilidir. Esas olarak İngilizce yetkin olmayabilecek kullanıcılar içindir.
Öncelikle Japon kullanıcıları hedeflemek için tasarlanan e-postalar, alıcıları bir zip arşivi yerleştiren bir Microsoft Word dosyası indirmek için enfekte bir siteye götüren kötü niyetli bağlantıları tıklamaya yönelik iş sorularıyla ilgili yemlerden yararlanır.
ZIP dosyasında mevcut, daha sonra EPL’de yazılmış modülleri kullanarak AnyDesk, Tigervnc ve TightVNC gibi birkaç araç bırakmak için kullanılan Mostererat’ın yürütülmesini tetikleyen bir yürütülebilir üründür. Kötü amaçlı yazılımın dikkate değer bir yönü, Windows güvenlik mekanizmalarını devre dışı bırakma ve sert kodlanmış güvenlik programları listesiyle ilişkili ağ trafiğini engelleme yeteneğidir, böylece yan yana algılamasına izin verir.
WAN, “Bu trafik engelleme tekniği, ağ iletişimi yığınının birden fazla aşamasında Windows filtreleme platformu (WFP) filtrelerini kullanan, sunucularına bağlanmasını ve algılama verilerini, uyarılarını, olay günlüklerini veya diğer telemetriyi iletmesini önleyen bilinen kırmızı ekip aracı ‘EDRSilencer’ınkine benziyor.”
Bir diğeri, yüksek izinlere sahip yerleşik bir Windows sistem hesabı olan TrustEDEDInStaller olarak çalıştırma yeteneğidir, kritik Windows işlemlerine müdahale etmesini, Windows kayıt defteri girişlerini değiştirmesini ve sistem dosyalarını silmesini sağlar.
Ayrıca, Mostererat tarafından dağıtılan modüllerden biri, Qianniu – Alibaba’nın satıcı aracı, günlük tuş vuruşları ile ilişkili ön plan pencere aktivitesini izlemek için donanımlıdır, harici bir sunucuya kalp atışı sinyallerini gönderin ve sunucu tarafından verilen işlem komutları.
Komutlar, kurban ana bilgisayar detaylarını toplamasına, DLL, EPK veya exe dosyalarını çalıştırmasına, kabuk kodu yüklemesine, dosyaları okuma/yazma/silme, erken kuş enjeksiyonu kullanarak Svchost.exe’yi indirip enjekte etmesine, ekran görüntülerini yakalamasını, RDP girişlerini kolaylaştırması ve hatta yöneticiler grubuna gizli bir kullanıcı oluşturup eklemesine izin verir.
Fortinet, “Bu taktikler tespit, önleme ve analiz zorluğunu önemli ölçüde artırıyor.” Dedi. “Çözümünüzü güncel tutmanın yanı sıra, kullanıcıları sosyal mühendisliğin tehlikeleri konusunda eğitmek de gerekliliği devam ediyor.”
ClickFix başka bir roman bükülme alır
Bulgular, MetaStealer olarak bilinen bir emtia bilgi stealer’ı AnyDesk gibi araçlar arayan kullanıcılara dağıtmak için “ClickFix-esque teknikleri” kullanan başka bir kampanyanın ortaya çıkmasıyla çakışıyor.
Saldırı zinciri, sözde herhangi bir AnyDesk yükleyicisini indirmeden önce sahte bir Cloudflare Turnstile sayfası sunmayı içerir ve bir doğrulama adımını tamamlamak için bir onay kutusuna tıklamalarını ister. Ancak, bu eylem, Windows Dosyası Gezgini’ni açmalarını isteyen bir açılır mesajı tetikler.
Windows Dosyası Gezgini açıldıktan sonra, turnike doğrulama sayfasında gizlenmiş PHP kodu, “Search-MS:” URI protokol işleyicisini, bir saldırganın sitesinde barındırılan bir PDF olarak gizlenmiş bir Windows kısayolu (LNK) dosyasını görüntülemek üzere yapılandırılır.
LNK dosyası, ev sahibi adını toplamak ve Metastealer’ı bırakmaktan sorumlu bir MSI paketi çalıştırmak için bir dizi adım etkinleştirir.
Huntress, “Mağdurdan bir miktar manuel etkileşim gerektiren bu tür saldırılar, iddia edilen kırık sürecin kendilerini ‘düzeltmek’ için çalıştıkları için, kısmen güvenlik çözümlerini potansiyel olarak atlayabildikleri için çalışırlar.” Dedi. “Tehdit aktörleri, iğneyi enfeksiyon zincirlerinde hareket ettirmeye devam ediyor, bir anahtarı tespit ve önlemeye atıyor.”
Açıklama, CloudSek’in AI sistemlerini silahlandırmak ve saldırgan kontrollü ClickFix talimatlarını içeren özetler üretmek için CSS tabanlı gizleme yöntemlerini kullanarak görünmez istemleri kullanan ClickFix Sosyal Mühendislik taktiğinin yeni bir uyarlamasını detaylandırmasıyla da geliyor.
Konsept Kanıtı (POC) saldırısı, yüklemin, çıktısını yönlendirmek için büyük bir dil modelinin bağlam penceresine hakim olması için HTML içeriğine yoğun bir şekilde gömüldüğünde, Doz Doz aşımı adı verilen bir strateji kullanılarak gerçekleştirilir.
Şirket, “Bu yaklaşım, e -posta istemcileri, tarayıcı uzantıları ve üretkenlik platformları gibi uygulamalara yerleştirilmiş özetleyicileri hedefliyor.” Dedi. “Kullanıcıların yapay zeka oluşturulan özetlerde yer aldığı güvenden yararlanarak, yöntem gizlice fidye yazılımı dağıtımını kolaylaştırabilecek adım adım talimatlar sunar.”
“İstem aşırı doz, bir AI modelinin bağlam penceresini, çıktısını kontrol etmek için yüksek yoğunluklu, tekrarlanan içeriğe sahip bir manipülasyon tekniğidir. Girişleri saldırgan tarafından seçilen metinle doyurarak, meşru bağlam bir kenara itilir ve modelin dikkati sürekli olarak enjekte edilen yüke geri çekilir.”