İlk enfeksiyon için USB cihazlarını kullanan finansal olarak motive olmuş bir tehdit oyuncusu, görünüşte iyi huylu içeriğe gömülü kodlanmış yükleri barındırmak için GitHub, Vimeo ve ARS Technica da dahil olmak üzere meşru çevrimiçi platformların kötüye kullanıldığı bulunmuştur.
Saldırganlar bu yükleri düz bir şekilde gizler ve bunları teknoloji haber sitelerinde veya medya barındırma platformlarındaki video açıklamalarında forum kullanıcı profillerine yerleştirir.
Bu yükler, sadece metin dizeleri oldukları için bu web sayfalarını ziyaret eden kullanıcılar için risk oluşturmaz. Ancak, kampanyanın saldırı zincirine entegre edildiğinde, saldırılarda kötü amaçlı yazılımları indirme ve yürütme konusunda çok önemlidir.
Bu kampanyadan sorumlu bilgisayar korsanları Mandiant tarafından UNC4990 olarak izlenir ve 2020'den beri aktiftir ve ağırlıklı olarak İtalya'daki kullanıcıları hedefler.
Saldırı, kurbanların bir USB sürücüsüne kötü niyetli bir LNK kısayol dosyasını çift tıklatmasıyla başlar. Kötü niyetli USB cihazlarının saldırı zincirini başlatmak için hedeflenen kurbanlara nasıl getirdiği bilinmemektedir.
Kısayol başlatıldığında, bir PowerShell Script explorer.ps1 yürütür, bu da 'EmplySpace' adlı kötü amaçlı yazılım indiricisini indirmek ve yüklemek için kullanılan bir URL'ye çözen bir aracı yükü indirir.
Bu aracı yükler, bir sonraki yükü indirmek için bir URL'ye ayrılan metin dizeleridir: EmplySpace.
UNC4990, başlangıçta GitHub ve GitLab'da kodlanmış metin dosyalarını kullanarak ve daha sonra Base64 kodlu ve AES şifreli dize yüklerini barındırmak için Vimeo ve ARS Technica'yı kötüye kullanmaya geçerek aracı yükleri barındırmaya yönelik çeşitli yaklaşımları denedi.
Mantiant, saldırganların bu sitelerde bir güvenlik açığından yararlanmadığını, ancak bir ARS Technica forumu profilindeki bir sayfa veya bir Vimeo video açıklaması gibi düzenli site özelliklerini kullandığını ve şüphelenmeden gizlenmiş yükü gizlice barındırdığını belirtiyor.
Ayrıca, bu yükler sadece zararsız metin dizeleri oldukları için istismar edilen sitelerin ziyaretçilerini doğrudan tehdit etmez ve Mantiant tarafından belgelenen tüm vakalar artık etkilenen aracı platformlardan kaldırılmıştır.
Meşru ve saygın platformlarda yükleri barındırmanın avantajı, güvenlik sistemleri tarafından güvenilmeleri ve şüpheli olarak işaretleme olasılığını azaltmalarıdır.
Dahası, tehdit aktörleri bu platformların sağlam içerik dağıtım ağlarından yararlanır ve yayından kaldırmalara dayanıklılıktan yararlanır.
Yüklerin meşru içeriğe gömülmesi ve yüksek miktarda meşru trafikle karıştırılması, kötü amaçlı kodu tespit etmeyi ve kaldırmayı zorlaştırır.
O zaman bile, saldırganlar bunu kamuya açık görüntülenebilir yorumları veya profilleri destekleyen farklı bir platformda kolayca yeniden tanıtabilirler.
PowerShell komut dosyası, meşru sitelerden getirilen ara yükü çözer, şifresini çözer ve yürütür ve kampanyanın komut ve kontrol (C2) sunucusuyla iletişim kuran enfekte sistem üzerindeki boşluk bırakır.
Saldırının sonraki aşamalarında, EmplySpace 'Quietboard' adlı bir arka kapı ve Monero, Ethereum, Dogecoin ve Bitcoin Madeni Kripto Madeni Madenciler indiriyor.
Bu kampanyaya bağlı cüzdan adresleri, gizlenen Monero'yu değil, 55.000 doları aşan bir kâr elde etti.
Quietboard, UNC4990 tarafından kullanılan sofistike, çok bileşenli bir arka kapıdır ve aşağıdakiler de dahil olmak üzere çok çeşitli özellikler sunar.
Quietboard ayrıca sistem yeniden başlatmalarında kalıcılık oluşturur ve ekstra modüller aracılığıyla dinamik olarak yeni işlevler eklemeyi destekler.
Mantiant, UNC4990'ın saldırı zinciri ve metodolojilerinin iyileştirilmesi için optimal yolları keşfetmek için kampanyalarıyla nasıl deney yapmayı sevdiğini vurgulayarak sona erer.
Görünüşte basit önleme önlemlerine rağmen, USB tabanlı kötü amaçlı yazılım önemli bir tehdit oluşturmaya ve siber suçlulara etkili bir yayılma aracı olarak hizmet etmeye devam ediyor.
Meşru siteleri ara yükler dikmek için kötüye kullanma taktiğine gelince, bu, tehditlerin beklenmedik, görünüşte zararsız yerlerde, geleneksel güvenlik paradigmalarına meydan okuyabileceğini gösteriyor.
Purplefox kötü amaçlı yazılım Ukrayna'da binlerce bilgisayarı bulaştı
FBI, enfekte yönlendiricilerden kötü amaçlı yazılımları silerek Çin botnetini bozar
Microsoft Teams Kimlik avı Darkgate kötü amaçlı yazılımları grup sohbetleri yoluyla iter
Polis Grandoreiro Bankacılık Kötü Yazılım Operasyonunu Keser, Tutuklama Yapın
Rus hilebot kötü amaçlı yazılımı 64 ay hapis cezasına çarptırıldı
Kaynak: Bleeping Computer