Teçhizat istismar kiti, günde yaklaşık 2.000 müdahaleyi denemeye ve hizmetin uzun operasyonel geçmişindeki en yüksek oran olan vakaların yaklaşık% 30'unda başarılı olan en başarılı dönemine giriyor.
Nispeten eski Internet Explorer güvenlik açıklarından yararlanarak, Rig Ek, Dridex, Smokeloader ve RaccoonStealer dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerini dağıtarken görülmüştür.
Araştırmacıların hizmetin arka uç web paneline erişimi olan ProDaft'ın ayrıntılı bir raporuna göre, istismar kiti bireyler ve kuruluşlar için önemli bir büyük ölçekli tehdit olmaya devam ediyor.
Rig Ek ilk olarak sekiz yıl önce, 2014 yılında piyasaya sürüldü ve kötü amaçlı yazılımlarını savunmasız cihazlara yaymak için diğer kötü amaçlı yazılım operatörlerine kiralanan bir "hizmet olarak istismar" olarak terfi etti.
Teçhizat Exploit kiti, tehdit aktörleri tarafından tehlikeye atılmış veya kötü niyetli web sitelerine gömülü bir dizi kötü amaçlı JavaScript betiğidir ve daha sonra kötü niyetli olarak teşvik edilir.
Bir kullanıcı bu siteleri ziyaret ettiğinde, kötü amaçlı komut dosyaları yürütülecek ve cihaza otomatik olarak kötü amaçlı yazılım yüklemek için tarayıcıdaki çeşitli güvenlik açıklarından yararlanmaya çalışacaktır.
2015 yılında, Kit'in yazarları kitin ikinci büyük sürümünü yayınladı ve daha kapsamlı ve başarılı operasyonlar için zemin hazırladı.
Yine de 2017'de Rig, altyapısının büyük bölümlerini silerek operasyonlarını ciddi şekilde bozan koordineli bir yayından kaldırma eyleminin ardından önemli bir darbe aldı.
2019'da Rig, bu kez fidye yazılımı dağıtımına odaklanarak, sodinokibi (Revil), Nemty ve Eris fidye yazılımlarına yardımcı oldu, veri şifreleme yükleri olan kuruluşları tehlikeye attı.
2021'de Rig'in sahibi hizmetin kapanacağını açıkladı; Bununla birlikte, Rig 2.0 2022'de iki yeni istismar (CVE-20120-0674 ve CVE-2021-26411 internet Explorer'da) ile geri döndü ve tüm zamanların yüksek başarılı bir ihlal oranına ulaştı.
Nisan 2022'de Bitdefender, RIG'in Redline Bilgi Çalma kötü amaçlı yazılımını kurbanlara bırakmak için kullanıldığını bildirdi.
Rig Ek tarafından hedeflenen istismarların çoğu, Microsoft Edge'in uzun zamandır değiştirdiği Internet Explorer için olsa da, tarayıcı hala birincil hedef olan milyonlarca işletme cihazı tarafından kullanılmaktadır.
ProDaft, Rig Ek'in şu anda 207 ülkeyi hedeflediğini, günde ortalama 2.000 saldırı başlattığını ve mevcut başarı oranının%30 olduğunu söylüyor. Prodaft, bu oranın istismar kitinin iki yeni istismarla yeniden ortaya çıkmasından% 22 olduğunu söylüyor.
Raporda yayınlanan ısı haritasının gösterdiği gibi, en etkilenen ülkeler Almanya, İtalya, Fransa, Rusya, Türkiye, Suudi Arabistan, Mısır, Cezayir, Meksika ve Brezilya'dır. Ancak dünya çapında kurbanlar var.
En yüksek başarı oranı CVE-2021-26411 tarafından getirilir ve% 45 başarılı bir sömürü oranı elde edilir, bunu% 29 ile CVE-2016-0189 ve% 10 ile CVE-2019-0752 ile takip eder.
CVE-2021-26411, Microsoft'un Mart 2021'de düzelttiği ve kötü niyetli bir web sitesi görüntüleyerek tetiklenen Internet Explorer'da yüksek şiddetli bir bellek yolsuzluk kusurudur.
CVE-2016-0189 ve CVE-2019-0752 güvenlik açıkları da İnternet Explorer'dadır ve tarayıcıda uzaktan kod yürütülmesine izin verir.
CISA, Şubat 2022'de CVE-2019-0752 için aktif bir sömürü uyarısı yayınladı, Sistem Yöneticileri Güvenlik Açığı hala kullanılmakta ve mevcut güvenlik güncellemelerini uygulamak için.
Şu anda, teçhizat eki öncelikle bilgi çalma ve başlangıç erişim kötü amaçlı yazılımları itmektedir, Dridex en yaygın (%34), ardından duman yükleyici (%26), Raccoonstealer (%20), Zloader (%2.5), TrueBot (%1.8) ve buzlu (%1.4).
Tabii ki, teçhizat ek tarafından yayılan kötü amaçlı yazılım türleri, hangi siber suçluların hizmeti kullanmayı seçtiğine bağlı olarak sürekli değişir.
Prodaft daha önce Redline, Recordbreaker, Purecrypter, Gozi, Royal Ransomware ve Ursnif dağılımını da gözlemlemişti.
Dridex bankacılık Truva atı dağıtmak özellikle ilginçtir, çünkü teçhizat operatörlerinin dağıtımının sorunsuz olmasını sağlamak için harekete geçtiğine dair işaretler vardır.
Raporda, "Rig yöneticisi, kötü amaçlı yazılımın sorunsuz bir şekilde dağıtılmasını sağlamak için ek manuel yapılandırma adımları atmıştı."
Diyerek şöyle devam etti: "Tüm bu gerçekler göz önüne alındığında, Dridex kötü amaçlı yazılım geliştiricisinin teçhizatın yöneticileri ile yakın bir ilişkisi olduğuna dair yüksek güvenle değerlendiriyoruz."
DRIDEX'in bir yıl önce entropi fidye yazılımı saldırılarıyla bağlantılı olduğuna dikkat edilmelidir, bu nedenle teçhizat ekleri veri şifreleme olaylarına yol açabilir.
Teçhizat EK, modası geçmiş yazılım kullanan bireyler ve kuruluşlar için önemli bir tehdit olmaya devam ediyor ve sistemlerini son derece hassas verileri sifon edebilen gizli bilgi çalanlar ile enfekte etmekle tehdit ediyor.
Bununla birlikte, Rig Ek'in Internet Explorer'a odaklanması, Microsoft'un Şubat 2023'te Nihayet İnternet Explorer'ı emekliye ayırarak kullanıcıları Microsoft Edge'e yönlendirdiği için hizmetin yakında eski olmasına neden olabilir.
Purecrypter kötü amaçlı yazılım, fidye yazılımları ile govt orgs, info-starers ile vuruyor
Yeni S1Deload Stealer kötü amaçlı yazılım kaçırmaları YouTube, Facebook Hesapları
Yeni Stealc kötü amaçlı yazılım, çok çeşitli çalma özellikleriyle ortaya çıkıyor
Kötü niyetli PYPI paketlerinde W4SP Stealer kötü amaçlı yazılım tarafından hedeflenen geliştiriciler
Bilgi Çalma Kötü Yazılımları ile Hacker Bombardı PYPI Platformu
Kaynak: Bleeping Computer