Dikkat: LinkedIn Kullanıcılarını Hedefleyen Yeni Kimlik Avı Saldırıları

Küresel ekonomi, Covid-19 salgını tarafından ciddi şekilde üzüldü ve artçı sarsıntılar hala birçok endüstri ve sektörde hissedilebiliyor. Değişen koşullarda birçok insan işini kaybetti ve mantıksal olarak birçoğu yeni fırsatlar aramak için LinkedIn'e gitti.

Kötü aktörler de her zaman yeni fırsatlar arayışındadır ve LinkedIn hitlerinin bu akışını böyle bir fırsat olarak gördüler. Tespit ve yanıt siber güvenlik şirketi eSentire ile çalışan güvenlik araştırmacıları, kısa süre önce LinkedIn kullanıcılarını sinsi ve tehlikeli kötü amaçlı yazılımlarla hedefleyen yeni bir kimlik avı kampanyası bildirdi.

Dosyasız Kötü Amaçlı Yazılım Önemli Tehdit Oluşturuyor

ESentire uzmanlarına göre, yeni kampanyanın arkasındaki tehdit grubuna Altın Tavuklar deniyor. LinkedIn mesajları aracılığıyla gönderilen bu yeni kimlik avı kampanyasında kullandıkları kötü amaçlı yazılım, uygun bir şekilde " more_eggs " olarak adlandırılır.

More_eggs, yasal Windows işlemlerini kötüye kullanan ve komut dosyalarında depolanan işlevleri ve belirli talimatları besleyen dosyasız bir kötü amaçlı yazılımdır. Bu, özellikle tespit edilmesini zorlaştırır.

Bu kampanyayla ilgili bir diğer dikkat çekici şey, milyonlarca e-postanın potansiyel olarak milyonlarca aktif kullanıcıya gönderildiği çoğu örtülü kimlik avı girişimine benzememesidir. Burada kullanılan yaklaşım çok daha hedeflidir ve mızrak kimlik avı olarak adlandırılabilir - mağduru cezbetme ve onları kötü amaçlı dosyayı tıklamalarını sağlama olasılığı çok daha yüksek olan görsel olarak güvenilir isimler ve yaklaşımlar kullanan bir saldırı.

LinkedIn kullanıcılarının gelen kutularına gönderilen mesajlar çok spesifikti ve en son işgal ettikleri gerçek işi ve arkaya eklenen "pozisyon" kelimesini içeriyordu, bu da aynı yer için gerçek bir iş teklifini ima ediyordu. Bu tek başına çok inandırıcı bir cazibe sağlıyor ve bu hedeflenen yaklaşım işe yarıyor gibi görünüyor.

More_eggs tarafından kullanılan kötü amaçlı dosya, açıldıktan sonra kötü amaçlı yazılımı sessizce dağıtan bir zip dosyasıdır. Virüs bulaştıktan sonra, sistem kötü amaçlı yazılımın arkasındaki iş parçacığı aktörlerine açıktır ve ek kötü amaçlı yükler uzaktan indirilip dağıtılabilir.

"Hizmet olarak kötü amaçlı yazılım" Geri Dönüş Sağlıyor

Bu son more_eggs kampanyası, Altın Tavuklar grubunun kendisi tarafından da yürütülmemektedir. eSentire, tehdit aktörünün kötü amaçlı yazılımı üçüncü taraf kötü oyunculara sattığını veya lisansını verdiğini ve onu bir hizmet olarak çalıştırdığını bildirir. Bu kavram devrim niteliğinde ya da yeni değil ama Colabt Group gibi büyük tehdit aktörlerinin more_eggs kullanıyor olması hackerlar için iyi çalıştığını gösteriyor.

ESentire ile çalışan uzmanlar, more_eggs'e özgü bir dizi tehdit göstergesi belirlediler. Bunlar, C&C işaretini, zip dosyasının karmasını ve more_eggs tarafından kullanılan indirme sunucusunu içerir:

  • C&C işaretçisi: d27qdop2sa027t.cloudfront [.] Net
  • Zip dosyası karması: 776c355a89d32157857113a49e516e74
  • Sunucu: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com