Kimlik Avı Kampanyasında Kötüye Kullanılan MS Exchange Sunucuları

IcedID bankacılık truva atını aktif olarak yayan yeni bir kampanya. Bu kez tehdit aktörleri, kötü amaçlı yazılımı yaymak için daha önce tehlikeye attıkları Microsoft Exchange sunucularını kullanıyor.

Kampanya, geçerli ve güvenilir kaynaklardan geliyormuş gibi görünen kimlik avı e-postalarını kullanıyor ve başarılı enfeksiyonlara gönderilen e-postaların daha iyi dönüşüm oranını sağlıyor.

Bilgisayar korsanları yeni kaçınma yöntemleri deniyor

Mevcut kampanya, güvenlik firması Intezer ile bir araştırma ekibi tarafından keşfedildi. Yüzeyde, kampanyanın arkasındaki bilgisayar korsanları çarpıcı bir şekilde yenilikçi bir şey yapmıyor gibi görünüyor. Daha eski kimlik avı kampanyaları, kimlik avı postalarını göndermek için önceden güvenliği ihlal edilmiş e-posta hesaplarını kullanmaya dayanıyordu ve bu da iletilere yanlış bir meşruiyet duygusu ekliyordu.

Ancak bu sefer, nihai truva atı yükünün hedefe başarılı bir şekilde teslim edilmesini daha da olası kılan yeni kaçınma taktikleri eklediler.

Bilgisayar korsanları, kötü niyetli e-postaları dağıtmak için Microsoft Exchange posta sunucularını kullanarak kimlik avı postası gönderiyor. Bununla birlikte, gerçek yük söz konusu olduğunda ekstra bir kaçınma katmanı da kullanıyorlar.

Kimlik avı kampanyalarının yıllardır yaptığı gibi kötü amaçlı içeriği ofis belgelerine yerleştirmek, örneğin bir MS Office dosyası içinde kötü amaçlı makroları gizlemek yerine, bilgisayar korsanları artık arşiv dosyalarını ve disk görüntülerini kullanmaya başladı. Bu, hem MS Office hem de Windows'ta "Web'in İşareti" veya MOTW adı verilen entegre koruma mekanizmalarını atlamalarına olanak tanır. MOTW, dosyaları Office uygulamalarında korumalı görünümde açmak da dahil olmak üzere, web'den indirilen dosyalar söz konusu olduğunda özel önleme önlemleri içerir.

Bununla birlikte, arşiv dosyalarını ve .iso disk görüntülerini kullanmak, bilgisayar korsanlarının bu koruma katmanını atlatmasına olanak tanır, çünkü bu dosya türleri MOTW ile işaretlenir, ancak bunların içindeki dosyalar olmayabilir.

IcedID'yi yaymak için kullanılan kimlik avı e-postaları, kurban ile güvenliği ihlal edilen hesap arasında mevcut bir iletişim zinciri e-postasını kullanarak "iş parçacığı ele geçirme" olarak adlandırılan şeyi kullanır. Bu, cazibeye ekstra güvenilirlik kazandırır.

Yük dağıtıldıktan sonra her zamanki gibi iş

E-posta, parola korumalı ekli bir arşiv dosyasına sahiptir. Şifre, e-postada uygun bir şekilde bulunur. Arşiv, bir main.dll dosyası ve bir kısayol document.lnk dosyası içeren bir .iso disk görüntü dosyası içerir. "Belgeyi" açmaya çalışmak, sistemin güvenliğini aşmak için main.dll dosyasını kullanarak yükün kurbanın sisteminde dağıtılmasına yol açar.

Saldırı zincirlerinin evrimi ile birlikte, benzer tehditlerden korunmak, yalnızca sağlam bir güvenlik protokolüne değil, aynı zamanda kişisel farkındalık ve kritik insan hatalarından kaçınmaya da bağlıdır.