Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kimlik avı VENOMOUS#HELPER Kimlik Avı Kampanyası

VENOMOUS#HELPER Kimlik Avı Kampanyası

Mezo'de Kimlik avı'de
Çevir:

VENOMOUS#HELPER olarak tanımlanan gelişmiş bir kimlik avı kampanyası, en az Nisan 2025'ten beri aktif olup, meşru Uzaktan İzleme ve Yönetim (RMM) araçlarının kötüye kullanılması yoluyla birden fazla saldırı vektörünü hedef almaktadır. Çoğunlukla Amerika Birleşik Devletleri'nde olmak üzere 80'den fazla kuruluş etkilenmiştir. Bu faaliyet, daha önce belgelenmiş STAC6405 olarak bilinen kümelerle örtüşmektedir. Sorumluluğun belirlenmesi belirsiz olsa da, operasyonel modeller, daha sonraki istismarlar için dayanak noktası oluşturmayı amaçlayan finansal güdümlü İlk Erişim Aracıları (IAB'ler) veya fidye yazılımı öncü gruplarıyla güçlü bir şekilde örtüşmektedir.

Güvenilir Araçlardan Geçinmek: Meşru RMM Yazılımlarının Kötüye Kullanımı

Saldırganlar, açıkça kötü amaçlı yazılım kullanmak yerine, SimpleHelp ve ConnectWise ScreenConnect gibi meşru araçların özelleştirilmiş sürümlerine güveniyorlar. Bu uygulamalar kurumsal ortamlarda yaygın olarak kullanıldığı için, varlıkları genellikle geleneksel güvenlik kontrollerini atlatıyor ve şüphe uyandırmaktan kaçınıyor.

İki aracın eş zamanlı olarak kullanılması kasıtlı bir taktiktir. Saldırganlar, çift uzaktan erişim kanalı kurarak operasyonel sürekliliği sağlarlar. Bir bağlantı tespit edilip etkisiz hale getirilse bile, ikinci kanal aktif kalır ve yetkisiz erişimin kesintisiz devam etmesine olanak tanır.

Kimlik Avı Giriş Noktası: Güvenilir Bir Kılık Değiştirme Yöntemiyle Sosyal Mühendislik

Saldırı zinciri, ABD Sosyal Güvenlik Kurumu'nu (SSA) taklit eden, özenle hazırlanmış bir kimlik avı e-postasıyla başlıyor. Mesaj, alıcılardan e-posta adreslerini doğrulamalarını ve gömülü bir bağlantı aracılığıyla sözde bir SSA bildirimini indirmelerini istiyor.

Dikkat çekici bir şekilde, bağlantı kurbanları meşru ancak ele geçirilmiş bir Meksika işletme web sitesine yönlendiriyor ve bu da spam filtrelerinden ve itibar tabanlı savunmalardan kasıtlı olarak kaçınma çabasını gösteriyor. Oradan kurbanlar, meşru bir belge gibi gizlenmiş kötü amaçlı yazılımı barındıran, saldırgan tarafından kontrol edilen ikinci bir alana yönlendiriliyor.

Yük Teslimi ve Kalıcılığı: Uzun Vadeli Erişimin Mühendisliği

İndirildikten sonra, Windows yürütülebilir dosyası olarak paketlenmiş olan zararlı yazılım, SimpleHelp RMM aracının kurulumunu başlatır. Saldırganların, zararlı dosyayı yerleştirmek için barındırma sunucusundaki bir cPanel hesabını ele geçirdikleri düşünülüyor.

Çalıştırıldıktan sonra, kötü amaçlı yazılım çeşitli mekanizmalar aracılığıyla kalıcılık ve direnç oluşturur:

  • Windows hizmeti olarak kurulum ve Güvenli Modda kalıcı depolama özellikleri
  • Hizmetin sonlandırılması durumunda otomatik olarak yeniden başlatan, kendi kendini onaran bir izleme mekanizmasının devreye alınması.
  • Yüklü güvenlik ürünlerinin root\SecurityCenter2 WMI ad alanı üzerinden her 67 saniyede bir düzenli olarak listelenmesi.
  • Kullanıcı etkinliğinin 23 saniyelik aralıklarla sürekli olarak izlenmesi

Bu teknikler, kötü amaçlı varlığın aktif, uyarlanabilir ve ortadan kaldırılması zor kalmasını sağlar.

Ayrıcalık Yükseltme ve Tam Sistem Kontrolü

Ele geçirilen sistem üzerinde tam etkileşimli kontrol sağlamak için SimpleHelp istemcisi, AdjustTokenPrivileges aracılığıyla SeDebugPrivilege elde ederek ayrıcalıklarını yükseltir. Ek olarak, yazılımın meşru bir bileşeni olan 'elev_win.exe', SYSTEM düzeyinde erişim elde etmek için kullanılır.

Bu yüksek ayrıcalık düzeyi, saldırganlara şunları yapma olanağı sağlar:

  • Ekran etkinliğini izleyin ve kaydedin.
  • Tuş vuruşlarını gerçek zamanlı olarak enjekte edin.
  • Kullanıcının bağlamı içindeki hassas kaynaklara erişim

Bu tür yetenekler, geleneksel güvenlik uyarılarını tetiklemeksizin kurbanın ortamı üzerinde tam kontrol sağlar.

Yedek Erişim Stratejisi: Yedek Kanal Olarak ScreenConnect

Birincil erişim kanalının kurulmasının ardından, saldırganlar ikincil uzaktan erişim mekanizması olarak ConnectWise ScreenConnect'i devreye sokarlar. Bu, ilk SimpleHelp bağlantısı tespit edilip engellense bile kalıcılığı sağlar.

Birden fazla yasal aracın kullanılması, dayanıklılık ve gizlilik için tasarlanmış katmanlı bir erişim stratejisini ortaya koyarak, tespit ve olay müdahale çabalarını zorlaştırmaktadır.

Operasyonel Etki: Radardan Gizli Sessiz Kontrol

Dağıtılan SimpleHelp sürümü (5.0.1), güçlü bir uzaktan yönetim özellikleri seti sunmaktadır. Ortama yerleştirildikten sonra, saldırganlar özgürce ve gizlice faaliyet gösterme yeteneği kazanırlar. Saldırganlar istedikleri zaman sisteme yeniden girebildikleri için, tehlikeye atılan kuruluş sürekli istismara açık kalır.

Ortam, düşmanların sessizce komutlar çalıştırabileceği, dosyaları her iki yönde de aktarabileceği ve ağ üzerinde yatay olarak hareket edebileceği, kontrollü bir varlık haline gelir. Tüm faaliyetler, saygın bir İngiliz tedarikçisi tarafından üretilen ve yasal olarak imzalanmış yazılımlardan kaynaklanıyormuş gibi göründüğünden, geleneksel antivirüs ve imza tabanlı savunmalar genellikle saldırıyı tespit edemez.

Sonuç: Modern Saldırılar İçin Bir Yol Haritası

VENOMOUS#HELPER, meşru yönetim araçlarının kötü amaçlı kullanımındaki artan eğilime örnek teşkil etmektedir. Sosyal mühendislik, güvenilir yazılım suistimali ve yedekli erişim mekanizmalarını bir araya getiren kampanya, kalıcılık, gizlilik ve operasyonel esneklik sağlamaktadır. Bu yaklaşım, kurumsal ortamlarda davranışsal izleme, sıfır güven ilkeleri ve meşru araç kullanımının daha yakından incelenmesi ihtiyacının aciliyetini vurgulamaktadır.

 

trend

En çok görüntülenen

Yükleniyor...