Check Point Research, görünüşte meşru iş iletişimini başlatmak için kurbanların kendi “bize ulaş” web formlarından yararlanarak geleneksel saldırı vektörlerini tersine çeviren Zipline adlı son derece kalıcı bir kimlik avı operasyonu ortaya çıkardı.
Öncelikle ABD merkezli imalat şirketlerini tedarik zinciri kritik sektörlerinde hedefleyen kampanya, kötü niyetli zip arşivleri sunmadan önce genellikle güven oluşturmak için haftalarca uzanan uzun süreli e-posta alışverişlerinden yararlanıyor.
İlk Erişim Taktikleri
Saldırganlar potansiyel ortaklar olarak poz vererek, gizlilik sözleşmelerini (NDA’lar) veya son dalgalarda, kurban operasyonel verimliliğe girdi istemek için iç “AI etki değerlendirmeleri” olarak çerçevelenen yapay zeka dönüşüm girişimleri.
Bu sosyal mühendislik yaklaşımı, mağdur e-posta iş parçacığını başlattığından ve kayıtlı ABD LLC’lerini taklit eden güvenilir alan adlarını, ek meşruiyet için stok görüntüleri içeren tempolu web siteleriyle içeriyor.
Yükler, IP adresleri veya kullanıcı aracıları gibi kurban meta verilerine dayalı olarak tasarlanan dinamik içeriğin, derhal şüphe olmadan bellek içi implantların gizli teslim edilmesini sağlayan Dinamik İçeriğe sahip olan Heroku gibi istismar edilmiş platformlarda barındırılır.
Enfeksiyon zinciri, kötü niyetli bir LNK kısayolunun yanında bir PDF ve DOCX belgeleri içeren bir zip dosyası ile başlar.
Bu LNK, zip için önceden tanımlanmış dizinleri (örneğin, masaüstü, indirmeler, sıcaklık) tarayan bir PowerShell yükleyici yürütür, “xfiqcv” gibi bir işaretleme dizesi aracılığıyla yerleşik bir komut dosyasını bulur.
Kalıcılık, Kayıt Defteri {EAB22AC0-30C1-11CF-A7EB-00C05BAE0B} kayıt defteri değiştirerek elde edilir ve Kayıtlı SCT dosyasına işaret etmek için kötü niyetli bir SCT dosyasına işaret etmek için.
Daha sonra komut dosyası, sistem mimarisine göre xor şifreli kabuk kodunu (Base64 kodlu), System.Refection.emit’i kullanarak Sistem Mimarisi’ne dayanarak, sanalAlloc aracılığıyla bellek içi yürütme için disk ayak izlerini en aza indirir.
Mixshell İmplantı
Zipline’ın özünde, Windows API’lerini kaçırma için ROR4 karma yoluyla çözen özel bir kabuk kodu tabanlı arka kapı olan Mixshell, DNS alanları, xor anahtarları ve caz adları gibi parametreler içeren bir parametreler içeren ve sistem tanımlayıcılarından (üründat, serial-serial-no olan) sistem tanımlayıcılarından bir muteks oluşturur.
Komut ve Kontrol (C2), DNS TXT tüneline HTTP geri dönüşüyle öncelik verir, alt alanları biçimlendirir
Desteklenen komutlar arasında dosya işlemleri, borular aracılığıyla komut yürütme ve ağ pivotlama için ters proxy, mixshell’in sıfır bayt mesajları ve dinamik IP/bağlantı noktası yönlendirmelerini içeren el sıkışmaları yoluyla trafiği aktardığı.
Mixshell’in bir PowerShell varyantı, hata ayıklama ve CRC32-hashed üründitler için planlanan görevleri kullanırken, hata ayıklayıcılar (örn. Windbg, Wireshark), sanalbox eserleri (örn., Vbox boruları) ve sanallaştırma göstergeleri (örn. Düşük RAM/CPU çekirdekleri) tarayarak kaçırmayı arttırır.
Altyapı analizi, Tollcrm gibi alanları ortaya çıkarır[.]com 172.210.58 gibi IPS’ye çözüm[.]69, potansiyel yönetim panelleriyle bağlantılı ve TransferLoader gibi önceki kampanyalarla örtüşen, UNK_GREENSEC gibi finansal olarak motive olmuş aktörlerle bağlar öneriyor.
Mağdur,% 80’in üzerinde ABD odaklı olan endüstriyel üretim, yarı iletkenler, biyoteknoloji ve enerji sektörlerini kapsamaktadır ve tescilli veriler veya tedarik zinciri sömürüsü için hem işletmeleri hem de KOBİ’leri hedeflemektedir.
Savunmacılar gelen formları, genişletilmiş yazışmaları ve DNS anomalilerini izlemelidir, çünkü Check Point Harmony E-posta ve İşbirliği, bağlamsal kimlik avı tespiti ve tehdit emülasyonu yoluyla bu tür çok aşamalı tehditleri önlemek için AI odaklı analizler kullanır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | IOC |
|---|---|
| Karma | e69d8b96b106816cb732190bc6f8c2693aecb6056b8f245e2c15841fcb48f94 D39E177261CE9A354B4712F820ADA3E8CD84A277F173ECFBD1BFFF6B100DDB713 f531bec8ad2d6fddef89e652818908509b7075834a083729c84eef16c6957d2 2c7bc0bbbfa282fc3ed3598348d361914fecfea027712f47c4f6cfc705690f 71Dec9789FEF835975A20F6BC1A736C4F591E5EAB20BDFFF6380953085B192 83B27E52C420B6132F8034E7A0FD943B1F4AF3BDB06CDBB873C80360E1E5419 F5A80B08D46B947CA42AC8DBD0094772AA3111F0A4D72CB2EDC4A6C9C37926 15d024631277f72df40427b8c50e354b340fac38b468f34826cc613b4650e74c 155BCCBD11066CE5BFFF175D140B920F9B98EAA0D3B86BDC8A04AC702A7A1EF 4dcff9a3a71633d89a887539e5d7a3dd6c239761e9a42f64f42c5c4209d2829 D6e1e4cc89c01d5c9444ac83b85efa27775103b82fece5a6f83be45e862a4b61e 81C1A8E624306C8A66A44BFE341EC70C6E3A3C9E70AC15C7876FCBBE364D01CD 36B065F19F1AC2642C041002BC3E28326BEC0AA08D288CA8A2D5C0D7A82B56E6 f44107475d3869253f393dbcb862293bff58624c6e3f106102cf6043d68b0af |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!