Trend Micro’nun gözlemlediği saldırılar bireysel Skype ve Teams alıcılarını hedef alırken, saldırganın amacı açıkça sistemlerini hedef kuruluşun ağlarında ilk dayanak noktası olarak kullanmaktı Aynı zamanda uzak masaüstü protokolünü (RDP), gizli sanal ağ bilişimini, AnyDesk’i ve diğer uzaktan erişim yazılımlarını da uygular
Güvenlik satıcısı, “Ayrıca, bir Bu kurallar, harici etki alanlarının engellenmesini, eklerin kullanımının kontrol edilmesini ve mümkünse tarama önlemlerinin uygulanmasını içermelidir ”
Güvenlik firması, kuruluşların Skype ve Teams gibi anlık mesajlaşma uygulamalarının kullanımına ilişkin kurallar uygulamasını tavsiye ediyor Trend Micro, çok faktörlü kimlik doğrulamanın, tehdit aktörlerinin yasa dışı olarak elde edilen kimlik bilgilerini IM hesaplarını ele geçirmek amacıyla kötüye kullanmasını önlemek için de hayati önem taşıdığını söyledi Nispeten güçlü birden fazla işlevi entegre eder; örneğin, kötü amaçlı yazılım, sistem bilgilerini toplamak, ağları haritalamak ve dizin geçişi yapmak için komutları çalıştırabilir
Trend Micro’nun analiz ettiği başka bir saldırıda, tehdit aktörü, kötü amaçlı bir
DarkGate: Güçlü Bir TehditDarkGate, en az 2017’den bu yana dünyanın çeşitli bölgelerindeki kullanıcıları hedef alan bir kötü amaçlı yazılımdır
Skype ve Teams Aracılığıyla Microsoft Kimlik AvıTrend Micro’nun şu anda takip ettiği DarkGate kampanyasının operatörü, kötü amaçlı yazılımı dağıtmak için hem Skype hem de Teams kullanıyor Saldırgan, temel olarak ele geçirilen Skype hesabını, mevcut bir mesaj dizisini ele geçirmek ve PDF dosyası içeriyor gibi görünen ancak aslında kötü amaçlı bir VBS betiği olan bir mesaj göndermek için kullandı Bu saldırganların hedefleri farklılık gösterebilir; bu da kuruluşların, sistemlere farklı türden kötü amaçlı yazılımlar bulaştırmak için DarkGate’i kullanan tehdit aktörlerine karşı dikkatli olmaları gerektiği anlamına gelir Bunlar bazen DarkGate’in kendisinin veya saldırganların daha önce siber casusluk gözetimi ve vergiyle ilgili bilgileri çalmak için kullandığı uzaktan erişim Truva Atı (RAT) olan Remcos’un çeşitleri olabilir LNK dosyasının, yaratıcıların SharePoint sitesinden sıkıştırılmış bir dosya olarak geldiği VBA komut dosyasını kullanan üçüncül bir dağıtım yöntemini de gözlemledik” dedi
DarkGate Çoklu Potansiyel Yükler SunuyorTrend Micro’nun analizi, DarkGate’in bir sisteme kurulduğunda ek yükleri azalttığını gösterdi
DarkGate, yük dağıtımı ve yürütülmesi için, diğer kötü amaçlı yazılım ailelerinin yazarlarının gizleme ve savunmadan kaçınma için kullandıkları meşru bir Windows otomasyonu ve komut dosyası oluşturma aracı olan AutoIT’i kullanır Ancak geliştiricinin yeni kötü amaçlı yazılım kiralama modeline yöneldiği göz önüne alındığında, kurumsal güvenlik ekipleri çeşitli tehdit aktörlerinden daha fazla saldırı bekleyebilir
Trend Micro, gözlemlediği DarkGate saldırılarını herhangi bir gerçek zarar meydana gelmeden önce kontrol altına alabildiğini söyledi zip” adlı bir dosyayı indirmeye çalışır
Bu haftaki bir rapordaTrend Micro ayrıca araştırmacılarının DarkGate geliştiricisinin kötü amaçlı yazılımın yeraltı forumlarında reklamını yapmaya başladığını ve bunu kötü amaçlı yazılım olarak hizmet olarak tehdit aktörlerine kiraladığını gözlemlediğini söyledi Saldırılardan birinde tehdit aktörü, hedef alıcının kuruluşunun güvenilir bir ilişki içinde olduğu bir kuruluştaki bir kişiye ait Skype hesabının kontrolünü ele geçirdi
Bir tehdit aktörü, bilgi hırsızlığı, keylogging, kripto para madencileri ve Black Basta gibi fidye yazılımları da dahil olmak üzere çok sayıda kötü amaçlı etkinlikle ilişkili sorunlu bir yükleyici olan DarkGate’i dağıtmak için güvenliği ihlal edilmiş Skype ve Microsoft Teams hesaplarını kullanıyor PivotYıllarca tek başına ilerledikten sonra DarkGate aktivitesinde göreceli bir durgunluğun ardından son zamanlarda bir artış yaşandı LNK dosyası içeren bir mesajı hedef alıcıya göndermek için bir Teams hesabını kullanarak aynı sonucu elde etmeye çalıştı Tehdit aktörünün güvenilir bir üçüncü tarafa ait biri olduğunu iddia ettiği Skype hırsızlığının aksine, Teams varyasyonunda alıcı, kötü niyetli mesajı bilinmeyen, harici bir varlıktan aldı
siber-1
Etkinliği takip eden Trend Micro araştırmacılarına göre, ağustos ayında başlamış gibi görünen kampanyanın hedeflerinin yüzde 41’i Amerika kıtasındaki kuruluşlar
Trend Micro, “Bu durumda, kuruluşun sistemi kurbanın harici kullanıcılardan mesaj almasına izin verdi ve bu da onların potansiyel bir spam hedefi haline gelmesine neden oldu” dedi Bu saldırı çeşidinde, tehdit aktörü kurbanı belirli bir SharePoint sitesine çekerek “Önemli şirket değişiklikleri Eylül Trend Micro’ya göre “Amaç hala tüm ortama nüfuz etmek ve kullanılan DarkGate varyantını satın alan veya kiralayan tehdit grubuna bağlı olarak tehditler fidye yazılımından kripto madenciliğine kadar değişebilir Alıcı dosyayı çalıştırdığında, DarkGate’i hedef bilgisayara indirip yüklemek için bir dizi adımı başlattı Diğer “özellikler” arasında kripto para madenciliği, keylogging, ayrıcalık yükseltme ve tarayıcılardan bilgi çalma ile ilgili olanlar yer alıyor