Sahte SSA E-postalarıyla Gelen Venomous#Helper Phishing Kampanyası 80'den Fazla Kuruluşu Hedef Aldı Yazılım

Sahte SSA E-postalarıyla Gelen Venomous#Helper Phishing Kampanyası 80'den Fazla Kuruluşu Hedef Aldı

Venomous#Helper phishing kampanyası, sahte SSA e-postaları ve RMM yazılımlarıyla ABD'de 80'den fazla kuruluşu hedef alarak kalıcı arka kapılar oluştur

Uzun süredir devam eden bir phishing operasyonu, imzalı uzaktan izleme ve yönetim (RMM) yazılımlarını kötüye kullanarak kurban makinelerine sessiz ve kalıcı arka kapılar yerleştiriyor. Bu operasyon, ABD başta olmak üzere 80'den fazla kuruluşu etkiledi. Securonix tarafından yapılan araştırmaya göre, 'Venomous#Helper' olarak adlandırılan kampanya, en az Nisan 2025'ten beri aktif ve kendi kendine barındırılan bir SimpleHelp 5.0.1 örneği ile bir ConnectWise ScreenConnect rölesini birleştirerek her enfekte ana bilgisayarda iki bağımsız erişim kanalı sağlıyor.

Kampanya, Red Canary ve Sophos tarafından daha önce izlenen bir kümeyle örtüşüyor; Sophos bu kümeyi STAC6405 olarak adlandırdı. Securonix, Venomous#Helper'ı bilinen bir gruba atfetmedi ancak finansal motivasyonlu bir ilk erişim komisyoncusu veya fidye yazılımı dağıtımının öncüsü olduğunu değerlendirdi. Enfeksiyonlar, ABD Sosyal Güvenlik Kurumu'nu (SSA) taklit eden ve alıcılardan adreslerini doğrulamalarını ve bir bildirim indirmelerini isteyen bir e-postayla başlıyor.

Securonix, bağlantının kurbanları, SSA markalı bir toplama sayfası sunan ve daha sonra ayrı bir tehlikeye atılmış cPanel hesabında barındırılan bir yükü yönlendiren, güvenliği ihlal edilmiş bir Meksika işletme sitesi olan gruta.com.mx'e yönlendirdiğini buldu. Araştırmacılar, yerleşik .com.mx alan adlarının kullanılmasının, güvenli e-posta ağ geçidi itibar filtrelemesini atlatmak için kasıtlı bir girişim olduğunu söyledi. İndirilen yürütülebilir dosya, numaralandırılmış bir hükümet belgesi gibi görünecek şekilde adlandırılmıştı ve SimpleHelp Ltd tarafından imzalanmış, Thawte sertifikasına sahip bir JWrapper paketlenmiş ikili dosyaydı.

Detaylar ve Etkileri

Bu imza, kötü amaçlı yazılımlara özgü kırmızı 'bilinmeyen yayıncı' uyarısı yerine mavi 'doğrulanmış yayıncı' istemi oluşturdu ve bu, Securonix'e göre zincirde kurban etkileşimi gerektiren tek noktaydı. Yükleyici, 'Remote Access Service' adlı bir Windows hizmeti kaydetti ve SafeBoot\Network kayıt defteri kovanına yazdı, böylece Güvenli Mod yeniden başlatmalarında bile hayatta kalmasını sağladı. Bir canlılık bekçisi, RAT sürecini izledi ve öldürülürse otomatik olarak yeniden başlattı. Savunmacılar, yüksek doğruluklu uç nokta telemetri sistemleri dağıtmaya, onaylanmış araç envanterleri tutmaya ve imzalı RMM ikili dosyalarından anormal süreç soy zinciri avlamaya çağrıldı.

Paylaş: