Gootkit Yükleyici kötü amaçlı yazılım operatörleri, Avustralya sağlık kuruluşlarını kobalt grev işaretleriyle enfekte etmek için VLC medya oynatıcıyı kötüye kullanan yeni bir SEO zehirleme kampanyası yürütüyor.
Kampanya hedefi, kurumsal ağlara ilk erişim için enfekte cihazlara kobalt grev sonrası araç setini dağıtmaktır.
Uzak operatörler ağ taramaları gerçekleştirebilir, ağ boyunca yanal olarak hareket edebilir, hesap kimlik bilgileri ve dosyaları çalabilir ve fidye yazılımı gibi daha tehlikeli yükler dağıtabilir.
Daha yaygın olarak gootloader olarak bilinen Gootkit Loader, geçen yaz benzer bir arama motoru sonucu zehirlenme kampanyasında sistemlere kobalt grevi sunmaya başladı.
GoOtloader, fidye yazılımı enfeksiyonları ile birkaç kez ilişkilendirildi, kötü amaçlı yazılım 2020'de Revil Gang ile yüksek profilli bir işbirliği ile geri döndü.
Trend Micro'nun yeni bir raporunda, araştırmacılar GoOtLoader'ın son kampanyasının, Avustralya sağlık sektörünü hedeflemek için kötü amaçlı web sitelerini Google arama sonuçlarına enjekte etmek için SEO zehirlenmesi kullandığını açıklıyor.
Kampanya Ekim 2022'de başladı ve Avustralya şehir isimleriyle birlikte "Anlaşma", "Hastane", "Sağlık" ve "Tıbbi" gibi tıbbi ile ilgili anahtar kelimeler için arama sonuçlarında yüksek sırada yer aldı.
SEO zehirlenmesi, siber suçluların kullandığı bir taktiktir ve tehdit oyuncusu web sitelerine bağlantılar içeren birçok meşru sitede birçok yazı oluşturur.
Arama motoru örümcekleri bu meşru siteleri dizine ekledikçe ve aynı URL'yi tekrar tekrar gördükçe, bunları ilişkili anahtar kelimeler için arama motoru sonuçlarına ekleyecektir. Sonuç olarak, bu arama terimleri aşağıda gösterildiği gibi Google arama sonuçlarında genellikle oldukça yüksek sırada yer alır.
Gootkit tarafından kullanılan siteler, arama motoru sonuçlarından gelen ziyaretçilere sahte Soru -Cevap forumları görüntülemek için enjekte edilen JavaScript komut dosyalarına sahip yaygın olarak hacklenen web siteleridir.
Bu sahte Soru-Cevap forumları, bir Sözleşme Şablonu veya Word belgesi gibi ilişkili aranan kaynaklarla bağlantılı bir soruya "cevap" içerecektir. Ancak, bu bağlantılar kullanıcıların cihazlarına bulaşan kötü amaçlı yazılımlardır.
Benzer bir taktik, operatörlerin sonuçları zehirlemek için Zoom, TeamViewer ve Visual Studio arama terimlerini kullandığı Şubat 2022'den itibaren bu Batoader ve Atera Agent kampanyasında olduğu gibi kötü amaçlı yazılım yükleyicileri tarafından kapsamlı bir şekilde kullanılmıştır.
En son gootloader kampanyasında, tehdit aktörleri, bir zip arşivinde sağlık hizmetleriyle ilgili bir anlaşma belge şablonu için doğrudan bir indirme bağlantısı kullanıyor.
Bu Zip Arşivi, GOOTKIT yükleyici bileşenlerini, başlatıldığında, daha sonra cihaza daha fazla kötü amaçlı yazılım indirmek için yürütülen bir PowerShell komut dosyası bırakan bir JS dosyası şeklinde içerir.
Enfeksiyonun ikinci aşamasında, kötü amaçlı yazılım, gootloader komut ve kontrol sunucularından 'msdtc.exe' ve 'libvlc.dll' indirir.
Yürütilebilir, Microsoft Dağıtılmış İşlem Koordinatörü (MSDTC) hizmeti olarak görünecek şekilde maskelenmiş VLC medya oynatıcısının meşru ve imzalı bir kopyasıdır. DLL, medya oynatıcının başlaması için gerekli olan meşru bir VLC dosyasının adını taşır, ancak bir kobalt grev modülü ile bağlanır.
VLC yürütülebilir dosyası başlatıldığında, güvenilir bir işlem bağlamında kötü amaçlı DLL'yi yüklemek için bir DLL tarafı yükleme saldırısı kullanır.
Bu, VLC yürütülebilir dosyanın Cobalt Strike Beacon etkinliklerine ev sahipliği yapan dllhost.exe ve wabmig.exe adlı iki işlemi ortaya çıkarmasına neden olur.
Kobalt grevini kullanarak, tehdit aktörleri ağ gözetimi için 'pshound.ps1' ve 'Soo.ps1' yükledi, 389, 445 ve 3268 bağlantı noktaları aracılığıyla makinelere bağlandı ve bir metin dosyasındaki birkaç hesap için Kerberos karmalarını terk etti ('KRB. Txt').
Kobalt grevi genellikle fidye yazılımı saldırılarının öncüsüdür, ancak trend micro tarafından gözlemlenen durumda, araştırmacılar son yükü yakalama fırsatı yoktu.
Çin devlet destekli bilgisayar korsanlarının saldırılarında VLC medya oynatıcısında bir DLL yan yükleme güvenlik açığı kullanıldı. Bu güvenlik açıklarının medya oyuncusunun Hindistan'da yasaklanmasına yol açtığına inanılıyor.
Ne yazık ki, bu arama sonucu zehirlenme kampanyalarından biri tarafından kandırılmaktan kaçınmak zor olabilir.
Nihayetinde, enfekte olmaktan kaçınmanın en iyi yolu, yalnızca güvenilir kaynaklardan dosyaları indirmek, dosya uzantılarını etkinleştirmek, böylece gerçek dosya adını görebilmeniz ve tehlikeli uzantıları olan dosyalara tıklamaktan kaçınmaktır.
Ayrıca, yürütülmeden önce kötü niyetli davranışları kontrol etmek için indirilen herhangi bir dosyayı Virustotal'a yüklemeniz önerilir.
Sıçan kötü amaçlı yazılım kampanyası, poliglot dosyalarını kullanarak algılamadan kaçmaya çalışır
Amazon'daki Android TV kutusu, kötü amaçlı yazılımla önceden yüklendi
Yardımcı Society Fidye Yazılımı, Avustralya İtfaiye Hizmetine Saldırı Talepleri
1.300'den fazla sahte anydesk sitesi Vidar Info-Ins-Relinger kötü amaçlı yazılımları itin
Yeni Koyu Pembe Apt Grubu Govt ve Orduyu Özel Kötü Yazılımlarla Hedefliyor
Kaynak: Bleeping Computer