Birden fazla kötü amaçlı yazılım dağıtım kampanyasını araştıran güvenlik araştırmacıları Prometheus adlı bir yeraltı trafik dağıtım hizmetinin, genellikle fidye yazılımı saldırılarına yol açan tehditler sunmaktan sorumlu olduğunu tespit etti.
Prometheus TDS'nin şimdiye kadar dışarı çıktığı kötü amaçlı yazılım aileleri arasında Bazarloader, IceDID, QBOT, SOCGHOLISH, HERHANGİ ve BÜYER Yükleyici, hepsi yaygın olarak aracı saldırı aşamalarında yaygın olarak daha fazla zarar verici yükler indirmek için kullanılır.
Bir trafik yönü sistemi (TDS), kullanıcıların daha fazla işlemi belirleyen belirli özelliklere (örneğin, konum, dil, cihaz tipi) dayanarak içeriğe yönlendirilmesine izin verir.
Tehdit aktörleri, on yıldan fazla bir süre için bu tür araçları kullanıyorlar. Bir 2011 Trend Micro Detaylarından Rapor Ediyor Koobface Botnet'in bir TDS bileşeniyle bir TDS bileşeninin yükseltilmesi.
Siber Güvenlik Şirketi'ndeki Araştırmacılar Grup-IB, Prometheus TDS Malware-AS-A-Service (Maas) operasyonunun, en az ayda 250 $ 'a kadar en az 250 $' a kadar yeraltı forumlarında ilan edildiğini buldu.
Ana olarak adlandırılan bir kullanıcı, e-posta pazarlaması, trafik üreten ve sosyal mühendisliği için uygun olan bot önleyici korumalı "profesyonel bir yönlendirme sistemi" olarak tanıtıyor.
Prometheus, müşterilerin hedefleri için bir profil oluşturabildiği hizmetin yönetim panelinden erişilebilen bir arka kapı ile enfekte bir web siteleri ağı kullanır.
Araştırmacılar, kullanıcıların Prometheus.backDoor ile enfekte olan bir web sitesine yönlendirilebileceğini söylüyorlar. .
Kullanıcılar hacklenmiş web sitesine indiğinde, PHP tabanlı Prometheus.backdoor, bağlantı ayrıntılarını (IP adresi, kullanıcı aracısı, yönlendirici başlığı, saat dilimi, dil) toplar ve bunları yönetici paneline iletir.
"Kullanıcı bir bot olarak tanınmıyorsa, yapılandırmaya bağlı olarak, Yönetim Masası, kullanıcıyı belirtilen URL'ye yönlendirmek veya kötü amaçlı bir dosya göndermek için bir komut gönderebilir. Payload dosyası, özel bir JavaScript kodu kullanılarak gönderilir "- Grup-IB
Zip ve RAR arşivleri de kullanılmış olmasına rağmen, kötü amaçlı kodlar genellikle kötü amaçlı Microsoft Word veya Excel belgelerinde gizlenir.
Soruşturmaları sırasında, Grup-IB tehdit istihbarat ekibi, Prometheus TDS'yi kullanan kampanyalarda 3.000'den fazla hedef e-posta adresi buldu.
Hedeflenen gelen kutulardan bazıları, bankacılık ve finans, perakende, enerji ve madencilik, siber güvenlik, sağlık, bu ve sigorta sektörlerinde ABD devlet kurumlarına, şirketler ve şirketlere aittir.
Prometheus TDS Malware Dağıtım Kampanyalarını araştırırken, araştırmacılar Campo Yükleyici (A.K.A. Bazarloader), Şahsanciye, QBOT, IceDid, Buer Yükleyici ve Socgholish'i sağlayan düzinelerce kötü niyetli ofis belgesini buldu.
Yukarıdaki Truva atlarının tümü, bir fidye yazılımı saldırısının önceki aşamalarında (WastedLocker, Ryuk, Egregor, Ransomexx, Revil, Küba, Conti) geçtiğimiz yıl boyunca kötü amaçlı yazılım indirenleridir.
Bununla birlikte, Grup-IB tehdit istihbarat ekibi, BleepingComputer'ı, Prometheus TD'lerini fidye yazılım saldırılarına bağlayamadıklarını söyledi, çünkü kötü amaçlı dosyaları sanal bir ortamda inceliyorlardı.
"Grup-IB araştırmacıları, son görülen kötü amaçlı dosyaları sanal ortamda incelediek, Ransomware operatörleri şimdi seçici olma eğilimindedir, bu, ağdan sonra, ödün verilen şirket hakkında daha fazla bilgi edinmek ve değip değmeyeceğine karar vermek için yanal hareketi ile devam ettikleri anlamına gelir. ağını şifrelemek için. Bu yüzden muhtemelen sanal makineler cybercriminals için yeterince çekici görünmüyordu "- Grup-IB
Kötü amaçlı yazılımları indirdikten sonra, kötü amaçlı belgelerden bazıları, kötü amaçlı yazılım bulaşmasını maskelemek için kullanıcıları meşru web sitelerine (docusign, USPS) yönlendirdi.
Kötü amaçlı yazılımların yanı sıra Prometheus TDS, kullanıcıları sahte VPN çözümleri sunan sitelere yönlendirmek, farmasötik ürünleri (viagra spam) veya bankacılık bilgileri için kimlik avı sayfalarını yönlendirmek için kullanılmıştır.
Prometheus'un arkasında olan kim, TDS servisi tarafından kullanılan altyapıyı paylaşan BRCHecker - bir Şifre Brute-Force Aracı adı verilen başka bir hizmet de çalışıyor.
Grup-IB, Haziran 2018'in ortalarında, Mainin adlı bir kullanıcıdan, Prometheus'tan çok benzer bir tanıtıcı olan bir kullanıcıya kadar eskimiş için reklamlar bulundu.
Araştırmacılar, BleepingComputer'a, işlevsellik ve altyapıdaki çakışmaların her iki hizmetin de aynı geliştiriciye sahip olduğunu gösterdiğini söyledi.
Araştırmacılar, her gün Prometheus.backdoor ile enfekte olan yeni web sitelerini gördüğü için iki sistem aktif. Ayrıca, yönetici panelleri düzenli olarak, yeni müşterilerin açık bir işaretidir.
FoodService Tedarikçisi Edward Don Bir Ransomware Saldırısı tarafından Vurdu
Bilgisayar Donanım Dev Gigabayt Ransomexx Ransomware tarafından Vurdu
Ransomware'deki hafta - 6 Ağustos 2021 - Insider Threat Edition
Lockbit fidye yazılımı, kurumsal ağları ihlal etmek için içerdekileri işe alıyor
Angry Conti Ransomware Affiliate Sızıntıları Çetenin Saldırı Oyun Kitabı
Kaynak: Bleeping Computer