Brezilya’da Portekizce konuşan kullanıcıları hedefleyen sofistike bir spam kampanyası, en az Ocak 2025’ten beri aktif olan Cisco Talos tarafından ortaya çıktı.
Bu kampanya, kurbanların sistemlerine yetkisiz erişim elde etmek için PDQ Connect ve N-mümkün olan uzaktan erişim gibi ticari uzaktan izleme ve yönetim (RMM) araçlarından yararlanmaktadır.
İlk Erişim Brokerleri (IABS) olarak yüksek güvenle tanımlanan saldırganlar, Brezilya’nın elektronik fatura sistemi NF-E ile ilgili meşru dosyalar olarak gizlenmiş kötü amaçlı kurulumcuları dağıtmak için aldatıcı taktikler kullanırlar.
.png
)
Genellikle finansal kurumlardan veya cep telefonu sağlayıcılarından gecikmiş faturalar veya ödeme makbuzları hakkında bildirim olarak poz veren bu spam mesajları, kullanıcıları Dropbox’ta barındırılan kötü amaçlı bağlantıları tıklamaya teşvik eder.
Tıklandıktan sonra, bu bağlantılar “Agent_nfe_ gibi adlarla yürütülebilir dosyaları indirin
Birincil hedefler arasında, eğitim ve devlet kurumları da dahil olmak üzere sektörlerdeki C seviyesi yöneticileri, finansal ve insan kaynakları personeli, bu saldırıların potansiyel etkisini artırıyor.
Kötü niyetli kazanç için ücretsiz denemelerin kötüye kullanılması
Cisco Talos’un soruşturması, tehdit aktörlerinin, genellikle 15 gün süren RMM araçlarının ücretsiz deneme sürelerinden, saldırılarını minimum maliyetle düzenlemek için kullandıklarını ortaya koyuyor.
Saldırganlar, çalınan kimlik bilgilerine güvenmeden kötü amaçlı ajanlar oluşturur ve dağıtılan kişisel hesaplar gibi Gmail veya Proton Mail gibi ücretsiz e -posta hizmetleri kullanarak deneme hesapları kaydederek.
Talos tarafından yapılan testler, N-mümkün olan uzaktan erişim gibi araçların deneme sürümlerinin, uzaktan masaüstü erişimi, komut yürütme, ekran akışı, tuş vuruşu yakalama ve dosya yönetimi özellikleri dahil olmak üzere sınırsız özellikler sunduğunu doğruladı.
Enfeksiyon sonrası, saldırganlar genellikle ek RMM araçları kurar veya güvenlik yazılımını devre dışı bırakır, daha fazla kötü amaçlı işlem yapmadan veya fidye yazılımı operatörleri veya devlet destekli aktörler gibi üçüncü taraflara erişim satmadan günlerce erişimi sürdürür.
Bu araçlar tarafından oluşturulan ağ trafiği, AWS’de barındırılan, algılama ve ilişkilendirmeyi zorlaştıran “upload1.am.remote.management” gibi alan adlarını kullanarak meşru HTTPS iletişimiyle karışıyor.
N-mümkün olan deneme hesaplarını devre dışı bırakmış olsa da, bu tür araçların artan kötüye kullanılması siber tehditlerde artan bir eğilime işaret etmektedir.
Cisco’nun güvenli uç nokta, güvenli e -posta ve güvenli güvenlik duvarı da dahil olmak üzere güvenlik çözümleri, kötü niyetli etkinlikleri ve ikili dosyaları tespit ederek ve engelleyerek bu kampanyaya karşı sağlam savunmalar sunar.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| Ağ IOCS | hxxps: // upload1[.]Ben[.]uzak[.]yönetmek/ |
| hxxps: // upload2[.]Ben[.]uzak[.]yönetmek/ | |
| hxxps: // upload3[.]Ben[.]uzak[.]yönetmek/ | |
| hxxps: // upload4[.]Ben[.]uzak[.]yönetmek/ | |
| 198[.]45[.]54[.]34[.]BC[.]GoogleUSercontent[.]com | |
| RMM yükleyici karma | 03B5C76AD07987CFA3236EAE5F8A5D42CEF228DDA22B392C40236872B512684E (Örnek) |
| Cisco Talos Github Deposu’nda ek karmalar mevcut |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir