ABD'de en az iki federal kurum, bir kimlik avı dolandırıcılığını sürdürmek için meşru uzaktan izleme ve yönetim (RMM) yazılımının kullanılmasını içeren "yaygın bir siber kampanyanın" kurbanı oldu.
ABD siber güvenlik yetkilileri, "Özellikle, siber suç aktörleri, meşru RMM yazılımlarının - ScreenConnect (şimdi ConnectWise Control) ve AnyDesk - indirilmesine yol açan kimlik avı e-postaları gönderdi ve aktörler, kurbanların banka hesaplarından para çalmak için bir geri ödeme dolandırıcılığında kullandılar" dedi.
Ortak tavsiye kararı Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi'nden (MS-ISAC) geldi.
Haziran ortası ve Eylül 2022 ortalarında gerçekleşen saldırıların finansal motivasyonları olsa da, tehdit aktörleri yetkisiz erişimi diğer bilgisayar korsanlığı ekiplerine satmak da dahil olmak üzere çok çeşitli faaliyetler yürütmek için silah olarak kullanabilir.
Uzak yazılımların suç grupları tarafından kullanılması, ayrıcalıkları yükseltmeye veya başka yollarla bir yer edinmeye gerek kalmadan bir ana bilgisayarda yerel kullanıcı erişimi sağlamak için etkili bir yol sunduğundan uzun zamandır endişe kaynağı olmuştur.
Bir örnekte, tehdit aktörleri bir çalışanın devlet e-posta adresine telefon numarası içeren bir kimlik avı e-postası göndererek kişiyi kötü niyetli bir etki alanına yönlendirdi. CISA, e-postaların, tehdit aktörleri tarafından en az Haziran 2022'den bu yana federal çalışanları hedef alan yardım masası temalı sosyal mühendislik saldırılarının bir parçası olduğunu söyledi.
Abonelikle ilgili mesajlar ya bir "birinci aşama" sahte alan adı içeriyor ya da alıcıları aynı alan adını ziyaret etmek üzere aktörün kontrolündeki bir telefon numarasını aramaya ikna etmek için geri arama oltalama olarak bilinen bir taktik kullanıyor.
Kullanılan yaklaşımdan bağımsız olarak, kötü niyetli etki alanı bir ikili dosyanın indirilmesini tetikler ve bu ikili dosya daha sonra taşınabilir yürütülebilir dosyalar biçiminde RMM yazılımını almak için ikinci aşama bir etki alanına bağlanır.
Nihai hedef, bir geri ödeme dolandırıcılığı başlatmak için RMM yazılımından yararlanmaktır. Bu, kurbanlara banka hesaplarına giriş yapmaları talimatı verilerek gerçekleştirilir, ardından aktörler banka hesabı özetini değiştirerek kişiye yanlışlıkla fazla miktarda para iadesi yapılmış gibi görünmesini sağlar.
Son adımda, dolandırıcılık operatörleri e-posta alıcılarından ek tutarı iade etmelerini isteyerek onları etkili bir şekilde paralarından dolandırmaktadır.
CISA bu faaliyeti Ekim 2022'de siber güvenlik firması Silent Push tarafından ifşa edilen "büyük bir truva atı operasyonu" ile ilişkilendirdi. Bununla birlikte, benzer telefon odaklı saldırı dağıtım yöntemleri, Luna Moth (diğer adıyla Silent Ransom) dahil olmak üzere diğer aktörler tarafından da benimsenmiştir.
"Bu kampanya, yasal RMM yazılımıyla ilişkili kötü niyetli siber faaliyet tehdidini vurgulamaktadır: kimlik avı veya diğer teknikler yoluyla hedef ağa erişim sağladıktan sonra, siber suçlulardan ulus devlet destekli APT'lere kadar kötü niyetli siber aktörlerin, yasal RMM yazılımını kalıcılık ve/veya komuta ve kontrol (C2) için bir arka kapı olarak kullandıkları bilinmektedir."
thehackernews'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder