DarkGate Operatörü Kötü Amaçlı Yazılım Dağıtmak için Skype ve Teams Mesajlarını Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

DarkGate Operatörü Kötü Amaçlı Yazılım Dağıtmak için Skype ve Teams Mesajlarını Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

DarkGate: Güçlü Bir Tehdit

DarkGate, en az 2017’den bu yana dünyanın çeşitli bölgelerindeki kullanıcıları hedef alan bir kötü amaçlı yazılımdır Bu saldırı çeşidinde, tehdit aktörü kurbanı belirli bir SharePoint sitesine çekerek “Önemli şirket değişiklikleri Eylül

Trend Micro’nun analiz ettiği başka bir saldırıda, tehdit aktörü, kötü amaçlı bir

DarkGate, yük dağıtımı ve yürütülmesi için, diğer kötü amaçlı yazılım ailelerinin yazarlarının gizleme ve savunmadan kaçınma için kullandıkları meşru bir Windows otomasyonu ve komut dosyası oluşturma aracı olan AutoIT’i kullanır Bu kurallar, harici etki alanlarının engellenmesini, eklerin kullanımının kontrol edilmesini ve mümkünse tarama önlemlerinin uygulanmasını içermelidir

Güvenlik satıcısı, “Ayrıca, bir



siber-1

Trend Micro, “Bu durumda, kuruluşun sistemi kurbanın harici kullanıcılardan mesaj almasına izin verdi ve bu da onların potansiyel bir spam hedefi haline gelmesine neden oldu” dedi Diğer “özellikler” arasında kripto para madenciliği, keylogging, ayrıcalık yükseltme ve tarayıcılardan bilgi çalma ile ilgili olanlar yer alıyor

Skype ve Teams Aracılığıyla Microsoft Kimlik Avı

Trend Micro’nun şu anda takip ettiği DarkGate kampanyasının operatörü, kötü amaçlı yazılımı dağıtmak için hem Skype hem de Teams kullanıyor zip” adlı bir dosyayı indirmeye çalışır LNK dosyası içeren bir mesajı hedef alıcıya göndermek için bir Teams hesabını kullanarak aynı sonucu elde etmeye çalıştı PivotYıllarca tek başına ilerledikten sonra DarkGate aktivitesinde göreceli bir durgunluğun ardından son zamanlarda bir artış yaşandı Saldırılardan birinde tehdit aktörü, hedef alıcının kuruluşunun güvenilir bir ilişki içinde olduğu bir kuruluştaki bir kişiye ait Skype hesabının kontrolünü ele geçirdi Saldırgan, temel olarak ele geçirilen Skype hesabını, mevcut bir mesaj dizisini ele geçirmek ve PDF dosyası içeriyor gibi görünen ancak aslında kötü amaçlı bir VBS betiği olan bir mesaj göndermek için kullandı

Trend Micro, gözlemlediği DarkGate saldırılarını herhangi bir gerçek zarar meydana gelmeden önce kontrol altına alabildiğini söyledi



Bir tehdit aktörü, bilgi hırsızlığı, keylogging, kripto para madencileri ve Black Basta gibi fidye yazılımları da dahil olmak üzere çok sayıda kötü amaçlı etkinlikle ilişkili sorunlu bir yükleyici olan DarkGate’i dağıtmak için güvenliği ihlal edilmiş Skype ve Microsoft Teams hesaplarını kullanıyor Tehdit aktörünün güvenilir bir üçüncü tarafa ait biri olduğunu iddia ettiği Skype hırsızlığının aksine, Teams varyasyonunda alıcı, kötü niyetli mesajı bilinmeyen, harici bir varlıktan aldı ”

Güvenlik firması, kuruluşların Skype ve Teams gibi anlık mesajlaşma uygulamalarının kullanımına ilişkin kurallar uygulamasını tavsiye ediyor Aynı zamanda uzak masaüstü protokolünü (RDP), gizli sanal ağ bilişimini, AnyDesk’i ve diğer uzaktan erişim yazılımlarını da uygular LNK dosyasının, yaratıcıların SharePoint sitesinden sıkıştırılmış bir dosya olarak geldiği VBA komut dosyasını kullanan üçüncül bir dağıtım yöntemini de gözlemledik” dedi Ancak geliştiricinin yeni kötü amaçlı yazılım kiralama modeline yöneldiği göz önüne alındığında, kurumsal güvenlik ekipleri çeşitli tehdit aktörlerinden daha fazla saldırı bekleyebilir Bunlar bazen DarkGate’in kendisinin veya saldırganların daha önce siber casusluk gözetimi ve vergiyle ilgili bilgileri çalmak için kullandığı uzaktan erişim Truva Atı (RAT) olan Remcos’un çeşitleri olabilir

Bu haftaki bir rapordaTrend Micro ayrıca araştırmacılarının DarkGate geliştiricisinin kötü amaçlı yazılımın yeraltı forumlarında reklamını yapmaya başladığını ve bunu kötü amaçlı yazılım olarak hizmet olarak tehdit aktörlerine kiraladığını gözlemlediğini söyledi

DarkGate Çoklu Potansiyel Yükler Sunuyor

Trend Micro’nun analizi, DarkGate’in bir sisteme kurulduğunda ek yükleri azalttığını gösterdi Bu saldırganların hedefleri farklılık gösterebilir; bu da kuruluşların, sistemlere farklı türden kötü amaçlı yazılımlar bulaştırmak için DarkGate’i kullanan tehdit aktörlerine karşı dikkatli olmaları gerektiği anlamına gelir

Etkinliği takip eden Trend Micro araştırmacılarına göre, ağustos ayında başlamış gibi görünen kampanyanın hedeflerinin yüzde 41’i Amerika kıtasındaki kuruluşlar Trend Micro’ya göre “Amaç hala tüm ortama nüfuz etmek ve kullanılan DarkGate varyantını satın alan veya kiralayan tehdit grubuna bağlı olarak tehditler fidye yazılımından kripto madenciliğine kadar değişebilir

Trend Micro’nun gözlemlediği saldırılar bireysel Skype ve Teams alıcılarını hedef alırken, saldırganın amacı açıkça sistemlerini hedef kuruluşun ağlarında ilk dayanak noktası olarak kullanmaktı Trend Micro, çok faktörlü kimlik doğrulamanın, tehdit aktörlerinin yasa dışı olarak elde edilen kimlik bilgilerini IM hesaplarını ele geçirmek amacıyla kötüye kullanmasını önlemek için de hayati önem taşıdığını söyledi Nispeten güçlü birden fazla işlevi entegre eder; örneğin, kötü amaçlı yazılım, sistem bilgilerini toplamak, ağları haritalamak ve dizin geçişi yapmak için komutları çalıştırabilir Alıcı dosyayı çalıştırdığında, DarkGate’i hedef bilgisayara indirip yüklemek için bir dizi adımı başlattı