Uzun süredir devam eden ve imzalı uzaktan izleme ve yönetim (RMM) yazılımlarını kötüye kullanan bir kimlik avı operasyonu, ağırlıklı olarak ABD'de olmak üzere 80'den fazla kuruluşu tehlikeye attı. Venomous#Helper kod adı verilen ve en az Nisan 2025'ten beri aktif olan kampanya, Securonix araştırmacılarına göre, her enfekte ana bilgisayarda operatörlere iki bağımsız erişim kanalı sağlamak için kendi kendine barındırılan bir SimpleHelp 5.0.1 örneğini ConnectWise ScreenConnect rölesiyle birleştiriyor.
Bu aktivite, daha önce Red Canary ve Sophos tarafından takip edilen bir kümeyle örtüşüyor; Sophos buna STAC6405 adını vermişti. Securonix, Venomous#Helper'ı bilinen bir gruba atfetmese de, finansal motivasyonlu bir ilk erişim komisyoncusu veya fidye yazılımı dağıtımının öncüsüyle tutarlı olduğunu değerlendirdi.
Enfeksiyonlar, ABD Sosyal Güvenlik Kurumu'nu (SSA) taklit eden ve alıcılardan adreslerini doğrulamalarını ve bir beyanname indirmelerini isteyen e-postalarla başladı. Securonix, bağlantının kurbanları, SSA markalı bir toplama sayfası sunan ve daha sonra ayrı bir ele geçirilmiş cPanel hesabında barındırılan bir yüke yönlendiren, ele geçirilmiş bir Meksika iş sitesi olan gruta[.]com.mx'e yönlendirdiğini tespit etti. Araştırmacılar, yerleşik .com.mx alan adlarının kullanılmasının, güvenli e-posta ağ geçidi itibar filtrelemesini atlatmak için kasıtlı bir girişim olduğunu söyledi.
Gelecekte Ne Bekleniyor?
İndirilen çalıştırılabilir dosya, numaralı bir hükümet belgesi gibi görünecek şekilde adlandırılmıştı ve SimpleHelp Ltd tarafından geçerli bir Thawte sertifikasıyla imzalanmış JWrapper paketlenmiş bir ikili dosyaydı. Bu imza, kötü amaçlı yazılımların tipik kırmızı bilinmeyen yayıncı uyarısı yerine mavi doğrulanmış yayıncı istemi üretti; Securonix, bunun zincirde kurban etkileşimi gerektiren tek nokta olduğunu söyledi.
Sonuç ve Değerlendirme
Onaylandıktan sonra yükleyici, 'Uzaktan Erişim Hizmeti' adlı bir Windows hizmeti kaydetti ve SafeBoot\Network kayıt defteri kovanına yazdı; bu, Güvenli Mod yeniden başlatmalarında hayatta kalmasını sağladı. Bir canlılık bekçisi, RAT sürecini izledi ve öldürülürse otomatik olarak yeniden başlattı. Dağıtılan SimpleHelp yapısı, sertifikası 2018'de sona eren kırık bir 2017 paketiydi; bu, operatörlerin herhangi bir lisans maliyeti veya satıcı kağıt izi üstlenmediğini gösteriyor.
Bir saatlik gözlemde Securonix, yalnızca arka plan yoklamasıyla oluşturulan ve operatör etkileşimi olmayan 986 işlem oluşturma olayı kaydetti. Üç döngü eşzamanlı olarak çalıştı: her 15 saniyede bir WiFi arayüzü kontrolü, her 23 saniyede bir fare konumu yoklaması ve her 67 saniyede bir senkronize güvenlik ürünü numaralandırma taraması. Araştırmacılar, fare konumu döngüsünün, operatörlerin kurbanın uzaklaşmasını beklediğini ve ardından klavye başında etkileşime geçtiğini gösterdiğini söyledi.
Kaynak: infosecurity-magazine.com