17 Kasım’da Microsoft Güvenlik Tehdit İstihbaratı, DEV-0569 olarak bilinen bir tehdit aktörünün Royal fidye yazılımını dağıtmak için yeni araçların geliştirilmesiyle ilgili etkinliğini izledi.
Microsoft hala geçici bir ‘DEV-####’ tanımlaması kullansa da, yani kaynağından veya kimliğinden emin değiller, grubun eski Conti üyelerinden oluştuğuna inanılıyor.
Microsoft Güvenlik Tehdit İstihbaratı ekibi bir analizde, “Gözlemlenen DEV-0569 saldırıları, artan fidye yazılımı kolaylaştırmasının yanı sıra yeni keşif tekniklerinin, savunmadan kaçınmanın ve çeşitli uzlaşma sonrası yüklerin düzenli olarak dahil edilmesiyle sürekli bir yenilik modeli gösteriyor” dedi.
Ağustos 2022’ye kadar uzanan grup, genellikle kötü amaçlı reklamcılık, kimlik avı bağlantı vektörleri, sahte forum sayfaları ve blog yorumlarına güveniyor. Ayrıca kullanıcıları, TeamViewer, Adobe Flash Player ve Zoom gibi çeşitli meşru yazılım yükleyicileri veya spam e-postalara gömülü güncellemeler gibi görünen BATLOADER adlı bir kötü amaçlı yazılım indiricisine yönlendirirler.
BATLOADER başlatıldığında, kötü amaçlı PowerShell etkinliğini başlatmak veya güvenlik çözümlerini devre dışı bırakmaya yardımcı olmak için toplu komut dosyalarını çalıştırmak ve şifresi çözülen ve PowerShell komutlarıyla başlatılan çeşitli şifrelenmiş kötü amaçlı yazılım yüklerinin teslim edilmesini sağlamak için MSI Özel Eylemlerini kullanır.
BATLOADER ayrıca, Zloader adlı başka bir kötü amaçlı yazılımla çakışmaları paylaşıyor gibi görünüyor. eSentire ve VMware tarafından yapılan yakın tarihli bir analiz, kullanıcıları güvenliği ihlal edilmiş web sitelerinden veya saldırgan tarafından oluşturulan alanlardan kötü amaçlı yazılımı indirmeye çekmek için arama motoru optimizasyonu (SEO) zehirlenmesi kullanımına ek olarak, gizliliği ve kalıcılığını ortaya koydu.
Blog gönderilerinde, Microsoft güvenlik araştırmacıları, grubun dağıtım yönteminde son zamanlarda gözlemlenen bazı değişikliklerden bahsetti. Buna, kimlik avı bağlantıları sağlamak için hedeflenen kuruluşların web sitelerinde iletişim formlarının kullanılması, yasal gibi görünen yazılım indirme sitelerinde sahte yükleyici dosyalarının barındırılması ve kötü amaçlı reklamcılık tekniklerinin Google Ads aracılığıyla genişletilmesi dahildir.
Alakalı haberler
- Gootloader, fidye yazılımını yaymak için SEO yoluyla web sitelerinden yararlanır
- Google, Kötü Amaçlı Yazılım Dolandırıcılığının Arkasındaki “Uygulama Geliştiricisini” Kaldıramadı
- Kötü amaçlı Office belgeleri, tüm kötü amaçlı yazılım indirmelerinin %43’ünü oluşturur
- Google Drive, kötü amaçlı Office belgeleri indirme işlemlerinin %50’sinden sorumluydu
- Google Drive kullanılarak hedeflenen kimlik avı saldırısında hedeflenen araştırma sektörü
Belirli bir kampanyada DEV-0569, ulusal bir mali otorite gibi görünerek bu hedeflerin web sitelerindeki iletişim formunu kullanarak hedeflere bir mesaj gönderdi. Sözleşmeli bir hedef e-posta yoluyla yanıt verdiğinde, tehdit aktörü BATLOADER bağlantısı içeren bir mesajla yanıt verir ve böylece hedefi başarılı bir şekilde tuzağına çeker.
Ayrıca, yükseltilmiş ayrıcalıklara sahip programları başlatmak ve antivirüs çözümlerini devre dışı bırakmak için tasarlanmış kayıt defteri değerleri ekleyerek savunmaları zayıflatmak için NSudo olarak bilinen bir araç da kullanılır.
Bununla birlikte, BATLOADER’ı yaymak için Google Ads’i kullanarak genişleme stratejileri, DEV-0569’un dağıtım vektörlerinin çeşitlendirilmesinde en büyük farkı yaratmış gibi görünüyor. Bu, daha fazla hedefe ulaşmasını ve kötü amaçlı yazılım yükleri sunmasını sağladı.
Microsoft, “DEV-0569’un kimlik avı düzeni yasal hizmetleri kötüye kullandığından, kuruluşlar şüpheli anahtar sözcükleri yakalamak veya IP aralıkları ve etki alanı düzeyinde izin verilen listeler gibi geniş istisnaları incelemek için posta akışı kurallarından da yararlanabilir” dedi.