İngilizce konuşan BT personeline karşı kimlik avı saldırıları ve sosyal mühendislik için kötü şöhretli tehdit oyuncusu Larva-208, Web3 geliştiricilerini hedeflemeye yöneldi.
Spearphishing bağlantıları (T1566.002) kullanan grup, kurbanları fabrikasyon iş teklifleri veya portföy inceleme talepleri ile çekerek, AI çalışma alanı platformlarını sahte olarak yönlendirir.
Norlax.ai (T1583.001) alan adı gibi bu aldatıcı siteler, güvenilirlik oluşturmak için teampilot.ai gibi meşru hizmetleri taklit eder.
Kimlik avı hedefleri Web3 geliştiricileri
Mağdurlar, eşsiz davet kodları ve e -postaları alır ve sesli sorunların Realtek HD ses sürücüsü (T1036.005) olarak gizlenmiş kötü amaçlı yazılımların indirilmesini istediği simüle edilmiş toplantı ortamlarına yol açar.
Bu kötü niyetli dosyanın yürütülmesi, komut ve kontrol (C2) sunucularına (T1583.004) bağlanan, kararsız Infostealer’ı alıp dağıtan gömülü bir PowerShell komutunu (T1059.001) tetikler.
Bu kötü amaçlı yazılım, cihaz adları, donanım spesifikasyonları, işletim sistemi sürümleri, IP adresleri aracılığıyla coğrafi konum, yüklü programlar, çalışma işlemleri ve kullanıcı kimlik bilgileri dahil olmak üzere hassas verileri sistematik olarak yayar, saldırganın altyapısına (T1041) geri gönderir.
LARVA-208, FFV2’nin kurşun geçirmez barındırma hizmetleri aracılığıyla kimlik avı ve C2 alanlarını satın alır ve genellikle Aydınlık Mantis Grubu ile paylaşılır ve siber güvenlik topluluğunda atıf üst üste bindirir.
Kampanyanın yaratıcılığı iki temel enfeksiyon vektöründe yatıyor. İlk olarak, saldırganlar X (eski adıyla Twitter) ve telgraf gibi sosyal platformlarda toplantı bağlantılarını blockchain ve Web3 konularıyla ilgilenen geliştiricilere dağıtarak röportaj fırsatları olarak çerçeveliyor.
İkincisi, Kripto Analisti rolleri için Remote3.co gibi platformlarda iş uygulamalarından yararlanır; Burada, ilk meşru Google, Sohbet yoluyla kötü amaçlı Norlax AI bağlantılarını paylaşmaya geçişin geçişini, şüpheli indirmelere karşı platform uyarılarını atlatıyor.
Sahte çağrıya katıldıktan sonra, kurbanlar, AudiateAltek.com’un /getfile.php uç noktasından indirilmeyi isteyerek tasarlanmış ses sürücü hatalarıyla karşılaşırlar.
Yükleyici, iyi huylu bir arayüz görüntülerken, CJHSBAM.com gibi C2 alanlarından kararsızlığı getirerek PowerShell’i setup.dll (T1204.002) ‘den gizlice yürütür.
Taktiklerin evrimi
Bu işlem, kurbanları, meşru Windows komut dosyası dosyaları (örneğin, yönetme-bde.wsf) olarak görünen, ancak Bitacid.net gibi sunuculardan yükleri indirmek için ampersAns operatörünü kullanarak gizli Powershell komutlarını ekleyen .lnk dosyalarını indirmeyi içeren Larva-208’in önceki yöntemlerinden bir evrimi işaretler.
Şimdi, veri eksfiltrasyonu, kayıt tutma için FileBin (T1567.003) gibi metin depolama sitelerini kaldırırken, önemli kurban Detayları OS, kullanıcı adı, IP, coğrafi konum ve antivirüs bilgileri, Web protokolleri (T1071.001) aracılığıyla C2 sunucularında PHP.PHP’ye aktarılır.
Catalyst Report’a göre, gelişmiş kurulumlarda, toplanan istihbarat gerçek zamanlı izleme için aktör kontrollü Silentprism sunucularına yüklenir.
Kampanya, Larva-208’in gelişmekte olan trendlere uyumunun altını çiziyor ve Web3 geliştiricilerinin işbirlikçi platformlara olan güvenini kullanmak için AI araçlarını silahlandırıyor.
Kripto para birimi cüzdanları, geliştirme kimlik bilgileri ve proje verilerini hasat ederek grup, fidye yazılımı odaklı paraleşmeden yasadışı pazarlarda veri yeniden satışına geçer.
Bu, geleneksel savunmaların Fickle gibi sosyal olarak tasarlanmış infosterers’a karşı düştüğü yüksek değerli ortamlardaki güvenlik açıklarını vurgular.
Siber güvenlik uzmanları, alanın özgünlüğünü doğrulamayı, istenmeyen indirmelerden kaçınmayı ve bu tür tehditleri azaltmak için PowerShell anomalilerinin uç nokta tespitini kullanmanızı önerir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now