SNOW Kötü Amaçlı Yazılımı
Daha önce belgelenmemiş ve UNC6692 olarak takip edilen bir tehdit kümesi, Microsoft Teams üzerinden gelişmiş sosyal mühendislik tekniklerini kullanarak SNOW Malware olarak bilinen özel bir kötü amaçlı yazılım çerçevesini yaymak için tespit edildi. Saldırganlar sürekli olarak BT destek personeli gibi davranarak, hedefleri harici hesaplardan gelen sohbet davetlerini kabul etmeye ikna ediyorlar.
Bu aldatmaca, kurbanların aciliyet ve kafa karışıklığı yaratmak amacıyla spam mesajlarıyla bombardımana tutulduğu koordineli bir e-posta bombardımanı kampanyasıyla pekiştiriliyor. Kısa bir süre sonra, saldırgan BT desteği gibi davranarak ve uydurma sorunu çözmek için yardım teklif ederek Teams üzerinden iletişime geçiyor. Bu çift katmanlı manipülasyon taktiği, kullanıcıların uyum sağlama olasılığını önemli ölçüde artırıyor.
İçindekiler
Eski Taktikler, Modern Etki
Operasyonel model, tarihsel olarak Black Basta'nın bağlantılı gruplarıyla ilişkilendirilen teknikleri yansıtıyor. Grup fidye yazılımı operasyonlarını durdurmuş olsa da, yöntemleri devam ediyor ve etkili olmaya devam ediyor. Güvenlik araştırmacıları, bu yaklaşımın öncelikle yöneticileri ve üst düzey personeli hedef aldığını, veri sızdırma, yatay hareket, fidye yazılımı dağıtımı ve gasp gibi durumlara yol açabilecek ilk ağ erişimini sağladığını doğruladı. Gözlemlenen vakalarda, saldırgan tarafından başlatılan sohbetler saniyeler içinde gerçekleşti ve bu da otomasyon ve koordinasyonu vurguluyor.
Aldatıcı Giriş Noktası: Sahte Çözüm
Quick Assist veya Supremo Remote Desktop gibi yalnızca uzaktan yönetim araçlarına dayanan geleneksel saldırıların aksine, bu kampanya değiştirilmiş bir enfeksiyon zinciri sunuyor. Kurbanlar, Teams üzerinden paylaşılan ve 'Posta Kutusu Onarım ve Senkronizasyon Yardımcı Programı v2.1.5' olarak sunulan bir kimlik avı bağlantısına tıklamaya yönlendiriliyor.
Bu bağlantı, saldırganın kontrolündeki bir bulut depolama hizmetinde barındırılan kötü amaçlı bir AutoHotkey komut dosyasının indirilmesini tetikler. Bir bekçi mekanizması, yükün yalnızca amaçlanan hedeflere iletilmesini sağlayarak otomatik güvenlik analizinden kaçınmaya yardımcı olur. Ek olarak, komut dosyası tarayıcı kullanımını doğrular ve kalıcı uyarılar aracılığıyla Microsoft Edge kullanımını zorunlu kılarak sonraki kötü amaçlı bileşenlerle uyumluluğu sağlar.
SNOWBELT: Sessiz Tarayıcı Arka Kapısı
İlk komut dosyası, kötü amaçlı bir Chromium tabanlı tarayıcı eklentisi olan SNOWBELT'i dağıtmadan önce keşif yapar. Belirli komut satırı parametreleri kullanılarak başsız bir Edge işlemi aracılığıyla yüklenen SNOWBELT, gizli bir arka kapı görevi görür. SNOWGLAZE, SNOWBASIN, daha fazla AutoHotkey komut dosyası ve taşınabilir bir Python ortamı içeren sıkıştırılmış bir arşiv de dahil olmak üzere ek yüklerin indirilmesini kolaylaştırır.
Aynı anda, kimlik avı arayüzü, 'Sağlık Kontrolü' özelliğine sahip bir 'Yapılandırma Yönetim Paneli' sunar. Bu arayüz, kimlik doğrulama bahanesiyle kullanıcılardan posta kutusu kimlik bilgilerini girmelerini ister, ancak bunun yerine hassas verileri yakalar ve saldırganın kontrolündeki altyapıya sızdırır.
Modüler Kötü Amaçlı Yazılım Ekosistemi: SNOW Çerçevesinin Ayrıntılı Analizi
SNOW kötü amaçlı yazılım paketi, kalıcılık, kontrol ve gizlilik için tasarlanmış koordineli, modüler bir ekosistem olarak çalışır:
- SNOWBELT, saldırgandan gelen talimatları alıp yürütülmek üzere ileten, JavaScript tabanlı bir komut aktarıcısı görevi görür.
- SNOWGLAZE, Python tabanlı bir tünelleme aracı olarak işlev görür ve ele geçirilen ağ ile saldırganın komuta ve kontrol sunucusu arasında güvenli bir WebSocket bağlantısı kurar.
- SNOWBASIN, kalıcı bir arka kapı görevi görerek uzaktan komut yürütme, dosya aktarımı, ekran görüntüsü alma ve kendini silme işlemlerini mümkün kılarken, aynı zamanda birden fazla portta yerel bir HTTP sunucusu olarak çalışır.
Sömürü Sonrası: Kontrolü Genişletme ve Veri Çıkarma
İlk güvenlik açığının ardından, tehdit aktörü erişimi derinleştirmek ve değerli bilgileri elde etmek için bir dizi eylem gerçekleştirir:
Ağ keşfi, kritik portların taranmasıyla gerçekleştirilir, ardından yönetim araçları ve ele geçirilmiş sistemler üzerinden tünellenmiş uzaktan masaüstü oturumları kullanılarak yatay hareket yapılır.
Ayrıcalık yükseltmesi, hassas işlem belleğinin çıkarılması, kimlik bilgilerinin ele geçirilmesi ve üst düzey sistemlere yetkisiz erişim sağlanması yoluyla gerçekleştirilir.
Pass-the-Hash gibi gelişmiş teknikler, etki alanı denetleyicilerini ele geçirmek için kullanılır; ardından, dizin veritabanları da dahil olmak üzere hassas verileri toplamak için adli araçlar devreye sokulur ve bu veriler daha sonra dosya aktarım yardımcı programları kullanılarak dışarı sızdırılır.
Bulut Kamuflajı: Zararlı Trafiği Meşru Hizmetlerle Harmanlama
Bu kampanyanın belirleyici özelliklerinden biri, güvenilir bulut altyapısının stratejik olarak kötüye kullanılmasıdır. Kötü amaçlı yazılımlar, veri sızdırma ve komuta-kontrol iletişimleri, meşru bulut platformları üzerinden yönlendirilmektedir. Bu yaklaşım, tehdit faaliyetlerinin normal kurumsal trafikle sorunsuz bir şekilde karışmasını sağlayarak, itibar veya anormallik tespiti temelli geleneksel güvenlik filtrelerini etkili bir şekilde atlatmaya olanak tanır.
Değişen Tehdit Ortamı: Birincil Hedef Olarak Güven
UNC6692 kampanyası, sosyal mühendislik, güvenilir kurumsal araçlar ve modüler kötü amaçlı yazılımları bir araya getiren siber saldırı stratejilerinde önemli bir evrimi vurgulamaktadır. Saldırganlar, yaygın olarak kullanılan platform ve hizmetlere duyulan kullanıcı güvenini istismar ederek, tespit edilme olasılığını en aza indirirken başarı oranlarını artırmaktadır. Eski taktiklerin yenilikçi dağıtım mekanizmalarıyla birlikte varlığını sürdürmesi, kritik bir gerçeğin altını çizmektedir: etkili saldırı stratejileri, orijinal uygulayıcıları ortadan kaybolduktan çok sonra bile varlığını sürdürebilir.
