Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) Vampir Bot Kötü Amaçlı Yazılımı

Vampir Bot Kötü Amaçlı Yazılımı

Mezo'de Gelişmiş Sürekli Tehdit (APT), Kötü amaçlı yazılım'de
Çevir:

BatShadow olarak takip edilen Vietnamca konuşan bir tehdit aktörü, iş arayanları ve dijital pazarlama uzmanlarını araştırmacıların Vampire Bot adını verdiği, daha önce belgelenmemiş bir Go tabanlı kötü amaçlı yazılımı yüklemeye ikna eden hedefli bir kampanya yürütüyor. Grup, işe alım uzmanlarını taklit ediyor ve etkileşime girildiğinde çok aşamalı bir enfeksiyon zincirini tetikleyen ve uzaktan gözetim ve veri hırsızlığı yetenekleri sağlayan, görünüşte meşru iş tanımları ve kurumsal PDF'ler dağıtıyor.

Sosyal Mühendislik ve Yem Dağıtımı

Saldırganlar, sahte PDF dosyaları ve kötü amaçlı kısayollar (LNK) veya PDF kılığına girmiş yürütülebilir dosyalar içeren işe alım tarzı mesajlar ve ZIP ekleri oluşturur. Belge tuzakları, hedeflenen kurbanlar nezdinde güvenilirliği artırmak için özellikle pazarlama rollerine yöneliktir (bir tuzakta bir Marriott pazarlama işine atıfta bulunulmuştur). Kurbanlar, çok aşamalı istismar dizisini başlatan iş tanımını "önizlemeye" veya indirmeye teşvik edilir.

Enfeksiyon Zinciri İlerlemesi

ZIP paketleri, gömülü bir PowerShell betiği çalıştıran kötü amaçlı bir LNK içerir. Bu betik, harici bir sunucuyla iletişime geçerek bir tuzak PDF ve XtraViewer (uzak masaüstü yazılımı) ile ilgili dosyalar içeren ayrı bir ZIP paketi alır. XtraViewer bileşenleri yürütülür (muhtemelen kalıcılık veya uzaktan erişim sağlamak için) ve Go yürütülebilir dosyası dağıtılana kadar zincir devam eder.

Edge Yönlendirmelerini Kötüye Kullanma

Kampanyanın kilit noktalarından biri, sahte bir "desteklenmeyen tarayıcı" hatası gösteren ve kurbanlara URL'yi kopyalayıp Microsoft Edge'de açmalarını söyleyen bir açılış sayfası. Komut dosyasıyla yönlendirilen yönlendirmeler genellikle modern tarayıcılar tarafından engellendiğinden, saldırganlar kullanıcıyı manuel bir işlem (Edge'e kopyalayıp yapıştırma) yapmaya ikna etmeye çalışıyor; bu işlem daha sonra kullanıcı tarafından başlatılmış gibi değerlendiriliyor ve indirme akışının devam etmesine olanak tanıyor. Sayfa, Edge'de açıldığında, PDF'nin sıkıştırıldığını ve "cihazınıza gönderildiğini" iddia eden başka bir sahte hata gösteriyor ve bu da otomatik bir ZIP indirmesini tetikliyor.

Yük ve Aldatıcı İsimlendirme Hilesi

Otomatik olarak indirilen ZIP dosyası, sözde iş tanımını ve PDF gibi görünmesi için adlandırılmış kötü amaçlı bir yürütülebilir dosyayı (örneğin, 'Marriott_Marketing_Job_Description.pdf.exe') içerir. Yürütülebilir dosya, dosya adı dolgusu ('.pdf' ve '.exe' arasında fazladan boşluklar) kullandığından, bazı görünümlerde PDF gibi görünür ve bu da kurbanların dosyayı çalıştırma olasılığını artırır.

Vampir Botunun Yetenekleri

Bırakılan yürütülebilir dosya, Vampire Bot adlı bir Golang ikili dosyasıdır. Gözlemlenen yetenekleri şunlardır:

  • enfekte olmuş konakçının sayılması ve profilinin çıkarılması,
  • geniş bir veri kümesini çalmak (kimlik bilgisi depoları, dosyalar, vb.),
  • yapılandırılabilir bir programa göre ekran görüntüsü alma,
    Ve
  • Komutları almak veya ek yükler indirmek için bir saldırgan sunucusuyla (api3.samsungcareers.work olarak bildirilir) komuta ve kontrol iletişimini sürdürmek.

Atıf ve Altyapı

Analistler, altyapının yeniden kullanımına (örneğin, daha önce Vietnam bağlantılı operatörlerle ilişkilendirilmiş bir IP adresi (103.124.95.161)) ve hedefleme kalıplarına dayanarak bu faaliyeti Vietnam ile ilişkilendiriyor. BatShadow, daha önce dijital pazarlama profesyonellerini hedef aldı ve Facebook Business varlıklarını ele geçiren hırsızlar kullandığı bilinen diğer finansal amaçlı Vietnam gruplarıyla örtüşüyor. Grubun en az bir yıldır aktif olduğu ve daha önce samsung-work.com gibi alan adlarını kullanarak Agent Tesla, Lumma Stealer, Venom RAT gibi kötü amaçlı yazılım ailelerini ve Ekim 2024'te benzer şekilde tuzaklanmış iş tanımı dosyaları aracılığıyla Quasar RAT dağıtan kampanyaları dağıttığı anlaşılıyor.

Saldırı Neden Etkili?

BatShadow, sektörle ilgili tuzakları (pazarlama iş ilanları), dosya adı hilelerini, aşamalı yükleri (basit dosya taramasını atlatmak için) ve komut dosyasıyla yönlendirilen korumaları atlatmak için manuel bir tarayıcı eylemini zorlayan bir akışı bir araya getirir. Sosyal mühendislik ve çok aşamalı teknik adımların bu karışımı, başarılı bir ihlal ve uzun vadeli erişim şansını artırır.

Çözüm

BatShadow'un kampanyası, aşamalı ve kaçamak bir teknik zincirle birleştirildiğinde hedefli sosyal mühendisliğin ne kadar etkili olduğunu vurguluyor. Sık sık işe alım yapan veya başvuru trafiğini yöneten kuruluşlar ve çevrimiçi varlıkları yöneten dijital pazarlama uzmanları, posta/ek yönetimini sıkılaştırmalı, sıkı uygulama kontrolleri uygulamalı ve işe alım tarzı ekleri doğrulanana kadar yüksek riskli olarak değerlendirmelidir.

trend

Posta Kutunuzun Sürümü Durdurulacak Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Çevrimiçi dolandırıcılar, kullanıcıları kandırmak ve değerli verileri çalmak için sürekli olarak yeni numaralar geliştiriyor. Bunlardan biri, şüphelenmeyen kurbanlardan oturum açma bilgilerini toplamak için tasarlanmış bir kimlik avı kampanyası olan "Posta Kutunuzun Sürümü Kullanımdan Kaldırılacak" dolandırıcılığıdır. Siber güvenlik uzmanları, bu dolandırıcılık mesajlarının hiçbir meşru şirket,...

En çok görüntülenen

Yükleniyor...