Yeni tanımlanmış bir kötü amaçlı yazılım, dublaj Zhong Stealerfintech ve kripto para birimi sektörleri için önemli bir tehdit olarak ortaya çıkmıştır.
Any.Run araştırmacıları, 20 ve 24 Aralık 2024 arasındaki bir kimlik avı kampanyası sırasında Zhong kötü amaçlı yazılımları keşfettiler, kötü amaçlı yazılım, organizasyonlara sızmak için Zendesk gibi müşteri destek platformlarından yararlanıyor.
Saldırganlar müşteriler olarak maskelenir ve destek temsilcilerini kötü niyetli dosyalar indirmeye kandırmak için sosyal mühendislik taktiklerini kullanırlar.
Zendesk aracılığıyla sömürü
Saldırı, yeni kayıtlı hesapları kullanarak saldırganlar tarafından hileli destek biletlerinin oluşturulmasıyla başlar.
Bu biletler genellikle ekran görüntüleri veya ek ayrıntılar içerdiğini iddia eden Çince ve ZIP dosya eklerinde kötü yazılı mesajlar içerir.
Basitleştirilmiş veya geleneksel Çince karakterlerde adlandırılan ZIP dosyaları, açıldıktan sonra kötü amaçlı yazılımları başlatan yürütülebilir (.exe) dosyalarını gizleyin.
Yürütüldükten sonra Zhong Stealer, Hong Kong’da barındırılan bir komut ve kontrol (C2) sunucusuna bağlanır.
Kötü amaçlı yazılım, çalınan ancak iptal edilmiş bir dijital sertifika kullanarak meşru bir Bitdefender güvenlik güncelleyici olarak gizlenmiş bir indirici de dahil olmak üzere ek bileşenler indirir.
Bu aldatıcı yaklaşım, kötü amaçlı yazılımın başlangıç tespit mekanizmalarını etkili bir şekilde atlamasını sağlar.
You can submit suspicious files and URLs to ANY.RUN for proactive analysis of threats targeting your company - Try for Free
Kalıcılık için gelişmiş teknikler
Zhong Stealer, tehlikeye atılan sistemlerde kalıcılık oluşturmak için birden fazla taktik kullanır.
Windows kayıt defteri anahtarlarını ve programları, sistem yeniden başlattıktan sonra bile başlangıçta çalıştığından emin olmak için görev zamanlayıcı aracılığıyla değiştirir.
Ayrıca, adli analiz sırasında tespitten kaçınmak için güvenlik olay günlüğünü devre dışı bırakır.
Kötü amaçlı yazılım, dil ayarları, ana bilgisayar adları ve proxy konfigürasyonları gibi sistem özelliklerini sorgulayarak keşif yapar.
Ayrıca tarayıcı uzantılarını ve kaydetmiş kimlik bilgilerini Brave ve Edge/Internet Explorer gibi popüler tarayıcılardan tarar.
Hassas veriler toplandıktan sonra Zhong, Port 1131 gibi standart olmayan ağ bağlantı noktaları üzerinden C2 sunucusuna ekspiltrat ederek algılama çabalarını daha da karmaşıklaştırır.
Zhong Stealer kampanyası, fintech ve kripto para şirketlerini hedefleyen siber tehditlerin artan sofistike olmasının altını çiziyor.
Saldırganlar, müşteri destek platformları aracılığıyla insan güvenlik açıklarından yararlanarak geleneksel güvenlik önlemlerini atlar.
Kötü amaçlı yazılımların kimlik bilgilerini ve hassas verileri çalma yeteneği, finansal işlemleri ve dijital varlıkları ele alan kuruluşlar için ciddi riskler oluşturmaktadır.
Zhong Stealer gibi tehditlere karşı savunmak için kuruluşlar proaktif siber güvenlik önlemlerini benimsemelidir:
- Kimlik avı girişimlerini tanımak ve şüpheli eklerin açmaktan kaçınmak için müşteri destek ekiplerini eğitin.
- Doğrulanmamış kaynaklardan dosya yürütmeyi kısıtlamak için sıfır tröst güvenlik politikalarını uygulayın.
- Olağandışı etkinlik için ağ trafiğini, özellikle C2 sunucularıyla ilişkili standart olmayan bağlantı noktalarına bağlantılar için izleyin.
- Gerçek zamanlı tehdit algılama ve davranışsal analiz için herhangi bir.Run’un etkileşimli sanal alan gibi gelişmiş kötü amaçlı yazılım analiz araçlarını kullanın.
Zhong Stealer olayı, fintech ve kripto para birimi sektörlerindeki siber güvenlik uygulamalarında uyanıklığa olan kritik ihtiyacı vurgulamaktadır.
Kuruluşlar, teknik savunmaları çalışan eğitimi ile birleştirerek, bunun gibi kötü amaçlı yazılım kampanyalarının getirdiği riskleri azaltabilir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here