NetSupport RAT, Kurbanın Sistemine Kötü Amaçlı Yazılım Dağıtmak için Sosyal Mühendislik Araç Setlerini Kullanıyor
Cyble Research & Intelligence Labs, NetSupport RAT'ı sunmak için Fake Browser Update, SocGholish kullanan tehdit aktörlerini fark etti.
SocGholish 2017'den beri aktif. "Soc"un, bir kurbanın sistemine kötü amaçlı yazılım dağıtmak için yazılım güncellemeleri olarak maskelenen sosyal mühendislik araç setlerinin kullanımını ifade ettiği bir JavaScript kötü amaçlı yazılım çerçevesidir.
Araştırmacılar, bu kötü amaçlı yazılım kampanyasının, Chrome / Firefox, Flash Player ve Microsoft Teams'i içeren tarayıcı ve program güncellemelerini taklit eden çeşitli 'Sosyal Mühendislik' temaları kullandığını belirtti.
Drive-By-Download Mekanizması
Tehdit aktörlerinin, kullanıcıları bir drive-by-download mekanizması kullanarak bir Chrome güncellemesine çektiği iddia ediliyor. Saldırganlar kötü amaçlı bir web sitesi barındırır (site, kritik tarayıcı güncellemeleriyle son kullanıcıları cezbetmek için içerik görüntüler), kötü amaçlı yazılım içeren bir arşiv dosyasını indirmek için arabayla indirme mekanizması uygular.
İndirildikten sonra, tehdit aktörü Cobalt Strike framework, fidye yazılımı ve diğerleri gibi bir dizi truva atı ve kötü amaçlı yazılım saldırısı dağıttı.
Sahte sayfadaki "Güncelle" düğmesine tıklandığında, "Сhrome" adlı bir arşiv dosyası. "Сhrome.Updаte.zip" indirilir ve "İndirilenler" klasörüne kaydedilir. Ayrıca, indirilen zip arşiv dosyası "AutoUpdater.js" adlı çok karıştırılmış bir JavaScript dosyası içerir.
Araştırmacılar, JavaScript dosyasının yürütülmesinden sonra, uzak sunucudan ek bir PowerShell betiği indirmek ve yürütmek için bir PowerShell komutu başlattığını söylüyor.
NetSupport Manager, yöneticilere kullanıcının bilgisayarlarına uzaktan erişim sağlayan meşru nedenlerle kullanılan ticari olarak temin edilebilen bir RAT'tır (Uzaktan Yönetim Aracı). Ancak TA'lar, uzaktan erişim kullanarak kurbanları hedeflemek için NetSupport Manager'ı birincil araç olarak kullanır.
NetSupport RAT kötü amaçlı yazılım paketi %AppData% dizinine kaydedildi.
İndirilen içeriğin şüpheli sitelerden değil, meşru bir kaynaktan kaynaklanıp kaynaklanmadığını doğrulamak her zaman faydalı olacaktır.
Öneriler
- Güvenilmeyen bağlantıları ve e-posta eklerini önce orijinalliklerini doğrulamadan açmaktan kaçının.
- Çalışanları, kendilerini kimlik avı/güvenilmeyen URL'ler gibi tehditlerden koruma konusunda eğitin.
- Bilinmeyen web sitelerinden dosya indirmekten kaçının.
- Güçlü parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamasını zorunlu kılın.
- Bilgisayarınızda, mobil cihazınızda ve diğer bağlı cihazlarınızda otomatik yazılım güncelleme özelliğini açın.
- PC, dizüstü bilgisayar ve mobil cihazlar dahil olmak üzere bağlı cihazlarınızda tanınmış bir virüsten koruma ve internet güvenliği yazılım paketi kullanın.
- Kötü amaçlı yazılımı yayabilecek URL'leri engelleyin, örneğin Torrent/Warez.
- Kötü amaçlı yazılımlar veya TA'lar tarafından veri sızmasını engellemek için işaretçiyi ağ düzeyinde izleyin.
- Çalışanların sistemlerinde Veri Kaybı Önleme (DLP) Çözümlerini etkinleştirin.
Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News