Hacker’lar Kötü Amaçlı Yazılım Yüklemek için Microsoft Office’i Kullanıyor

Araştırmacılar, Almanya ve İtalya’daki çeşitli organizasyonların ağlarını kötü amaçlı yazılım yüklemek amacıyla hedef alan “ TA2101” adında yeni bir hack grubunun düzenlemekte olduğu kötü amaçlı yazılım kampanyaları keşfetti.

Bu yeni hack grubunun önde gelen aktörleri, kötüye kullanım sonrası işlem yapabilmek için Cobalt Strike ve Metasploit gibi yasal ve lisanslı penetrasyon test araçları ve backdoor framework’ ü kullanmaktadırlar.

Bu tür araçlar ve framework’ ler, güvenlik açıklarını tespit etmek ve bu açıkların önüne geçebilmek amacıyla bir organizasyon tarafından yasal olarak kullanılabiliyorken, kötü amaçlı yazılım yükleyebilmek için araçların ve frameworklerin özelliklerinden faydalanan Cobalt Group, APT32 ve APT19 gibi siber suçlular grubu tarafından da kullanılabilirler.

Saldırganlar, hem kimlik avına ve giderek gelişen sosyal mühendisliğe hem de bankacı Trojan’lere ve fidye yazılımına odaklanmış bu kampanyaları başlattılar.

Araştırmacılar ayrıca bu grubun ileri bir sosyal mühendislik kullanarak ve İtalyan gelir dairesini taklit ederek İtalya menşeili şirketlerin altyapısına saldırabilmek için Maze Ransomware isimli fidye yazılımı dağıttığını farkettiler.

Zararlı Word Dökümanları Kullanarak Windows’tan Faydalanmak

Proofpoint araştırmacıları bu kampanyayı 16 Ekim 2019’dan 12 Kasım 2019’a kadar gözlemlediler. Bu gözlem sonucunda toplanan örnekler ile grubun hedeflediği noktalar hakkında net bilgiler elde edilmiştir. Bu örneklerin sağladığı bilgilerde, iş ve bilgi teknolojileri hizmetlerine, üretim ve sağlık hizmetlerine saldırabilmek için Almanya, İtalya ve Amerika’ya zararlı e-postaları nasıl gönderdiklerine dair bilgiler bulunmaktadır.

Zararlı e-postalar aracılığıyla ulaştırılan birkaç örnekte, e-posta eklerinin bir çoğu zararlı hale getirilmiş Word dökümanları içermektedir.

E-posta metninin içeriği, kurbanlarını eklentiyi açmaları yönünde teşvik eder ve bunun sonucunda makronun çalışmasına ve makronunda PowerShell script’i çalıştırmasına sebep olur. Çalıştırılan Powershell scripti en sonunda Maze Ransomware isimli fidye yazılımını komut ve kontrol sunucusundan indirir ve kurbanın cihazına yükler.

Hukuki yaptırım faaliyetlerine dikkat çeken farklı farklı e-posta kampanyalarıyla insanlara fidye yazılımı yollayan saldırganlar, Alman Federal Ekonomi Bakanlığı’nı taklit ederek kurbanları daha fazla vergiden ve cezalardan kaçınabilmeleri amacıyla kötü amaçlı bu e-postalardan yolladı.

Son olarak araştırmacılar, gönderenini ve içeriğini bilmediğiniz mailleri açıp okumamanızı ve direk silmeniz gerektiğini belirtti.

Kaynak

Link

Exit mobile version