Veri Hırsızlarının Test Sürüşü Benzersiz Sertifika İstismarı Taktiği - Dünyadan Güncel Teknoloji Haberleri

Veri Hırsızlarının Test Sürüşü Benzersiz Sertifika İstismarı Taktiği - Dünyadan Güncel Teknoloji Haberleri
bir blog yazısı 10 Ekim’de ”

Bu, üretken RedLine ve Vidar hırsız kötü amaçlı yazılımlarından sorumlu tehdit aktörlerinin, e-posta güvenliğini aşmalarına olanak tanıyan Genişletilmiş Doğrulama (EV) sertifikalarıyla imzalanmış fidye yazılımı yüklerini dağıtırken yakın zamanda görüldükleri taktiktir
Yasadışı crackleri ve indirmeleri tanıtan web siteleri aracılığıyla dağıtımına ek olarak meşru Arka planda, sayfalar LummaC2 olarak bilinen uzaktan erişim Truva atlarını (RAT’lar) ve Güney Kore merkezli AhnLab’dan RecordBreaker (aka Raccoon Stealer V2) araştırmacılarını ortaya çıkardı

KDH, “Kötü amaçlı yazılımlar genellikle kendilerini normal sertifikalarla gizler” diye yazdı

Kötü amaçlı yazılım, özellikle, alışılmadık derecede uzun dizelere sahip Konu Adı ve Veren Adı alanlarını içeren anormal sertifikalar kullanıyor; bu, sertifikaları incelemek için belirli araçlara veya altyapıya ihtiyaç duydukları ve Windows sistemlerinde görünmedikleri anlamına geliyor AhnLab araştırmacıları, Windows kullanıcılarını, özellikle popüler uygulamaların yasa dışı sürümlerini sunduğu bilinen sitelerden çevrimiçi yazılım indirirken dikkatli olmaya çağırdı Ayrıca çeşitli risk göstergeleri ve hem LummaC2 hem de Raccoon Stealer V2’nin teslimiyle ilişkili komuta ve kontrol alanlarının bir listesini sağladılar

AhnLab Güvenlik Acil Durum Müdahale Merkezi’nden araştırmacı KDH, gönderisinde “Bu türden benzer örnekler, hafif yapısal değişikliklerle iki aydan fazla bir süredir tutarlı bir şekilde dağıtıldı ve bu da bu eylemin arkasında belirli bir amacın olduğunu gösteriyor” diye yazdı ”
Uzun dizili sertifika tekniğinin üzerinde çalışıldığı ve şu ana kadar yalnızca kısmen başarılı olduğu açık olsa da, kullanıcıların bu yaklaşımın farkında olması gerekir

Sertifikanın Kötüye Kullanımının Yeni Türü

Sertifikalar hatalı oldukları için muhtemelen herhangi bir imza doğrulamasında başarısız olsalar da, kafa karıştırıcı olabilirler ve dolayısıyla bazı savunmaları aşabilirler



siber-1

TrendMicro yakın tarihli bir blog gönderisinde açıklandı
Gönderiye göre, “Bulaşmanın ardından, tarayıcıda kaydedilen hesap kimlik bilgileri, belgeler, kripto para birimi cüzdan dosyaları vb ”

“Ayrıca, tehdit aktörü tarafından belirlenen ek bir kötü amaçlı yazılım parçası yükleniyor ve bu da sürekli kötü niyetli davranışlara olanak tanıyor “Yani, genellikle tehdit aktörleri, doğrulanabilen yasal olarak imzalanmış sertifikalara sahip kötü amaçlı yazılımlar sunar, böylece daha sonra başarılı bir şekilde indirilip çalıştırılması onaylanan orijinal yazılım gibi görünür

Bu hırsızlar gibi, LummaC2 ve Raccoon Stealer da güvenlik araştırmacılarına tanıdık geliyor ve çeşitli kötü amaçlı işlevlere sahip ancak asıl odak noktası, bulaştırdıkları sistemlerden veri çalmak NET yükleyicisi — araştırmacılar ayrıca RaccoonStealer V2’nin YouTube ve diğer kötü amaçlı yazılımlar aracılığıyla dağıtıldığını da gözlemledi

Şu anda dolaşımda olan en son örnek, PowerShell komutlarını belirli bir adresten indirmek ve yürütmek için tasarlanmış URL kodlu kötü amaçlı komut dosyası içeren bir dizeden oluşuyor, ancak araştırmacılar tarafından gözlemlenen örnek hem indirme hem de yürütmede başarısız oldu Aslında sertifikanın kötüye kullanılması, tehdit aktörleri tarafından kullanılan yaygın bir taktiktir ancak genellikle bu konuda farklı bir yol izlerler gibi hassas kullanıcı bilgilerini tehdit aktörüne iletebilirler ve bu da potansiyel olarak ciddi ikincil hasarlara yol açabilir



Saldırganlar, kimlik bilgilerini ve diğer hassas verileri toplamak amacıyla bilgi hırsızlığı yapan kötü amaçlı yazılımları yaymak amacıyla yeni bir tür sertifika kötüye kullanımı kullanıyor
Araştırmacılar, özellikle imza dizelerinin Arapça, Japonca ve İngilizce dışındaki diğer dillerin yanı sıra özel karakterler ve noktalama işaretlerini de içerdiğini ve tipik İngilizce karakter dizisi yapılarından farklılaştığını belirtti Bazı durumlarda amaç, Windows sistemlerinden kripto para birimini çalmaktır

Kampanya, yasa dışı yazılım çatlaklarını ve indirmeleri teşvik eden kötü amaçlı sayfaların yer aldığı arama sonuçlarını sunmak için arama motoru optimizasyonu (SEO) zehirlemesini kullanıyor