Sahte SSA E-postalarıyla Venomous#Helper Fidye Yazılımı Kampanyası: 80’den Fazla Kuruluş Hedefte Linux

Sahte SSA E-postalarıyla Venomous#Helper Fidye Yazılımı Kampanyası: 80’den Fazla Kuruluş Hedefte

Venomous#Helper kampanyası, sahte SSA e-postalarıyla SimpleHelp ve ScreenConnect kullanarak 80'den fazla ABD kuruluşuna sızdı. Çift kanallı kalıcılık

Siber güvenlik araştırmacıları, Venomous#Helper kod adı verilen ve en az Nisan 2025'ten beri aktif olan bir fidye yazılımı kampanyasının, sahte ABD Sosyal Güvenlik Kurumu (SSA) e-postaları kullanarak 80'den fazla kuruluşu hedef aldığını ortaya çıkardı. Securonix tarafından yapılan analize göre, saldırganlar kendinden host edilen SimpleHelp 5.0.1 ve ConnectWise ScreenConnect aracılığıyla hedef sistemlere çift kanallı erişim sağlıyor. Kampanya, Red Canary ve Sophos tarafından daha önce takip edilen STAC6405 kümesiyle örtüşüyor ve finansal motivasyonlu bir ilk erişim aracısı veya fidye yazılımı öncesi hazırlık olarak değerlendiriliyor.

Saldırı, alıcılardan adreslerini doğrulamalarını ve bir beyan indirmelerini isteyen sahte bir SSA e-postasıyla başlıyor. Bağlantı, kullanıcıları Meksika'ya ait güvenliği ihlal edilmiş bir siteye (gruta.com.mx) yönlendiriyor. Bu site, SSA markalı bir kimlik avı sayfası sunuyor ve ardından ikinci bir güvenliği ihlal edilmiş cPanel hesabında barındırılan bir yükü indiriyor. Araştırmacılar, .com.mx alan adlarının kullanımının, güvenli e-posta ağ geçidi itibar filtrelemesini atlatmak için bilinçli bir seçim olduğunu belirtiyor. İndirilen çalıştırılabilir dosya, numaralandırılmış bir devlet belgesi gibi görünen, SimpleHelp Ltd tarafından imzalanmış ve Thawte sertifikasına sahip bir JWrapper paketidir. Bu imza, mavi bir doğrulanmış yayıncı uyarısı gösterirken, kırmızı bilinmeyen yayıncı uyarısı göstermemesi, kurban etkileşiminin tek noktasıdır.

Onaylandıktan sonra yükleyici, 'Remote Access Service' adlı bir Windows hizmeti kaydeder ve SafeBoot\Network kayıt defteri kovanına yazarak Güvenli Mod yeniden başlatmalarında bile kalıcılığı garanti eder. Bir canlılık bekçisi, RAT sürecini izler ve sonlandırılırsa otomatik olarak yeniden başlatır. Kullanılan SimpleHelp sürümü, 2017'den kalma kırık bir pakettir ve sertifikası 2018'de sona ermiştir; bu, operatörlerin lisans maliyeti veya satıcı izi olmadığını gösterir. Bir saatlik gözlemde, Securonix yalnızca arka plan yoklamasıyla oluşturulan 986 işlem oluşturma olayı kaydetti. Üç döngü eşzamanlı olarak çalışıyordu: her 15 saniyede bir WiFi arayüzü kontrolü, her 23 saniyede bir fare konumu yoklaması ve her 67 saniyede bir senkronize güvenlik ürünü numaralandırma taraması. Fare konumu döngüsü, operatörlerin kurban uzaklaşana kadar beklediğini gösteriyor.

Securonix ayrıca, RAT'ın WMIC sorgularını wmic.exe.bak olarak yeniden adlandırılmış bir ikili dosya aracılığıyla çalıştırdığı ve böylece orijinal dosya adına dayalı EDR kurallarını atlattığı dikkat çekici bir kaçınma tekniği tespit etti. Bu dosya, yüksek güvenilirlikli bir tehlike göstergesi olarak kabul edilmelidir. Araştırmacılar, çift RMM tasarımının kasıtlı olduğunu ve 'kötü amaçlı yazılım BT yönetim yazılımı olduğunda, onu yakalayan tek şey geride bıraktığı davranıştır' uyarısında bulundu. Savunmacıların yüksek doğruluklu uç nokta telemetri sistemleri kullanması, onaylı araç envanterleri tutması ve imzalı RMM ikili dosyalarından gelen anormal süreç soy ağaçlarını avlaması öneriliyor.

Paylaş: