MirrorBlast Phishing Kampanyası Finans Kurumlarını Hedefliyor

Güvenlik araştırmacıları, MirrorBlast olarak adlandırılan devam eden bir kimlik avı kampanyasını ortaya çıkardı. Kampanya, finans alanında çalışan profesyonelleri hedef alıyor gibi görünüyor.

MirrorBlast, bir aydan uzun bir süre önce ET Labs'deki bir araştırma ekibi tarafından tespit edildi. Kampanya, kurbanı araştırmacıların "silahlaştırılmış" bir Excel dosyası dediği şeye yönlendiren kimlik avı e-postalarının içinde kötü niyetli bağlantılar kullanıyor.

Kötü amaçlı MS Office dosyaları genellikle kötü niyetli kişilerin kullandığı katıştırılmış makrolar içerir. MirrorBlast ile durum farklı değil. Çoğu kötü amaçlı yazılımdan koruma paketi benzer tehditlere karşı bir tür savunmaya sahip olsa da, MirrorBlast'ın kullandığı Excel dosyasını özellikle tehlikeli yapan şey, gömülü makroların doğasıdır.

MirrorBlast dosyasında kullanılan makrolar "son derece hafif" olarak tanımlanmaktadır. Bu, birçok kötü amaçlı yazılımdan koruma sistemini kandırabilecekleri ve atlatabilecekleri anlamına gelir.

Morphisec'ten araştırmacılar, kötü amaçlı yazılımın bir örneğini ele geçirdiler ve onu ayırdılar. Excel dosyası tarafından tetiklenen bulaşma zinciri, aynı zamanda Graceful Spider olarak da adlandırılan, TA505 kod adlı, Rusça dilinde gelişmiş bir kalıcı tehdit aktörü tarafından kullanılan yaklaşımları ve saldırı vektörlerini andırıyor.

Kimlik avı e-postalarında bulunan bağlantı, OneDrive dizinlerini veya kötü amaçlı SharePoint sayfalarını taklit eden sayfaların kötü amaçlı, sahte kopyalarına yol açar. Sonunda, kurban her zaman silah haline getirilmiş Excel dosyasına ulaşır.

Kimlik avı kampanyasında kullanılan sosyal mühendislik cazibesi, biraz tahmin edilebilir bir şekilde Covid'e odaklanıyor. Sahte mesajlar, Covid durumuyla ilgili işyerindeki yeniden yapılandırma düzenlemeleri ve değişiklikleri hakkında şirket notlarına benzeyecek şekilde uyarlanmıştır.

Neyse ki birçokları için, dosyanın içindeki kötü amaçlı makrolar, uyumluluk sorunları nedeniyle yalnızca MS Office'in 32 bit yüklemelerinde yürütülebilir. Kötü amaçlı makronun kendisi, önce ana bilgisayar sisteminde korumalı alan olup olmadığını kontrol eden, ardından bir yükleyici paketini indirmek ve çalıştırmak için meşru Windows yürütülebilir msiexec.exe'yi kullanan JavaScript kodunu çalıştırır.

Kimlik avı MirrorBlast kampanyasının arkasında olduğundan şüphelenilen TA505, araştırmacıların önüne geçmek için her zaman saldırı vektörlerini ve yaklaşımlarını değiştiren finansal olarak motive edilmiş bir tehdit aktörü olarak tanımlanıyor.