.webp "Yeni yaygın kimlik avı kampanyası, kullanıcıları birden fazla kötü amaçlı yazılımla saldırıyor")
Kimlik avı saldırıları Mayıs 2024’te yoğunlaştı ve Polonya, 26.000’den fazla korunan kullanıcının %80’ini oluşturarak saldırıların çoğunu üstlendi; İtalya ve Romanya da önemli hedeflenmelerle karşılaştı.
Tehdit aktörleri ay boyunca dokuz ayrı kimlik avı saldırısı başlattı, yedi özel saldırıyla ağırlıklı olarak Polonya’ya odaklanıldı.
Son dönemdeki siber saldırılarda, birincil kötü amaçlı yazılım dağıtım mekanizması olarak AceCryptor’dan ModiLoader’a geçildi.
Analiz edilen dokuz kampanyada, Formbook, Agent Tesla ve Rescoms RAT dahil olmak üzere sistemlere sızmak ve çeşitli yükleri dağıtmak için yalnızca ModiLoader kullanıldı.
Bu kötü amaçlı araçlar, hassas bilgileri çalmak ve tehlikeye atılmış makineler üzerinde uzaktan kontrol kurmak için tasarlanmıştır ve etkilenen kuruluşlar için önemli riskler oluşturur.
Saldırganlar, kötü amaçlı ekler içeren e-postalarla işletmeleri hedef alan kimlik avı kampanyaları düzenledi.
E-postalarda, tutarlı bir sosyal mühendislik taktiği uygulanıyor, meşru ticari talepler gibi görünüp fiyat teklifi isteniyordu.
Mesajlar, sipariş numaralarının yer aldığı kısa taleplerden, ayrıntılı ürün özellikleri içeren daha ayrıntılı tekliflere kadar uzanıyordu.
Biçimi ne olursa olsun, tüm e-postalar alıcıları ekli dosyaları açmaya teşvik etmeyi amaçlıyordu ve daha sonra bu dosyaların ModiLoader kötü amaçlı yazılımını içerdiği ortaya çıktı.
2023’ün ikinci yarısındaki kimlik avı kampanyalarında saldırganlar, kampanyanın başarısını artırmak için meşru şirketleri ve çalışanlarını taklit ederek sosyal mühendislik uyguladılar.
Bu e-postalarda, RFQ veya sipariş gibi ticari dokümanlar kisvesi altında kötü amaçlı ekler yer alıyordu.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
ISO veya arşiv dosyaları biçimindeki ekler, kurbanları e-posta içeriği aracılığıyla bunları açmaya teşvik ediyor ve ikna edici kimliğe bürünme nedeniyle oluşan tipik kırmızı bayrakları atlatıyor.
Kampanyalar, ModiLoader yürütülebilir dosyasını sunmak için iki temel yöntem kullandı.
Birinde, aynı adlı yürütülebilir dosyaları içeren ISO dosyaları ek olarak gönderildi ve yürütüldüğünde ModiLoader doğrudan başlatıldı.
Alternatif olarak, toplu komut dosyaları kılığında RAR arşivleri dağıtıldı ve bu komut dosyaları gizlendi ve sertifika iptal listesi gibi görünen base64 kodlu ModiLoader içeriyordu.
Komut dosyası çalıştırıldığında gömülü kötü amaçlı yükü çözüp başlattı.
Delphi tabanlı bir indirici olan ModiLoader, birinci aşama kötü amaçlı yazılım işlevi görerek, tehlikeye atılmış sunuculardan veya OneDrive gibi bulut depolama hizmetlerinden sonraki yükleri alıyor.
Agent Tesla, Rescoms ve Formbook gibi bu zararlı yazılımlar, hassas verileri sızdırma yeteneğine sahip bilgi çalan kötü amaçlı yazılımlardır.
Saldırganlar, çalınan bu kimlik bilgilerini kullanarak saldırı yüzeylerini genişletiyor ve potansiyel olarak daha fazla kötü amaçlı kampanya başlatıyor.
Yöntemlerin iki farklı örneği gözlemlendi.
İlk kaldıraçlı tiposquat, SMTP tabanlı veri sızdırma için bir Alman şirketinin alan adının kopyalanmasıydı ve bu, kimlik avı için tiposquat yapılmış alan adlarını kullanan önceki Rescoms kampanyalarıyla örtüşüyordu.
İlk kampanyadan farklı olarak ikinci kampanyada, verileri çalmak için meşru görünen bir Rumen pansiyonunun web sunucusu kullanıldı.
ESET araştırmacıları, sunucunun daha önceki bir saldırıda ele geçirildiğinden ve kötü amaçlı faaliyetler için yeniden kullanıldığından şüpheleniyor; bu durum, alan adı sahteciliğinden, ele geçirilmiş altyapı istismarına doğru bir geçiş olduğunu gösteriyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access