SSA Taklitli E-postalarla Yayılan Venomous#Helper Kimlik Avı Kampanyası 80'den Fazla Kuruluşu Hedef Aldı Dünya Geneli

SSA Taklitli E-postalarla Yayılan Venomous#Helper Kimlik Avı Kampanyası 80'den Fazla Kuruluşu Hedef Aldı

Sahte SSA e-postalarıyla başlatılan Venomous#Helper kampanyası, SimpleHelp ve ConnectWise ScreenConnect kullanarak 80'den fazla ABD kuruluşuna sızdı.

Uzun süredir devam eden bir kimlik avı operasyonu, güvenilir uzaktan izleme ve yönetim (RMM) yazılımlarını kötüye kullanarak kurban makinelerine sessiz ve kalıcı arka kapılar yerleştiriyor. Securonix araştırmacılarına göre, 'Venomous#Helper' kod adlı bu kampanya, en az Nisan 2025'ten beri aktif ve ağırlıklı olarak ABD'de olmak üzere 80'den fazla kuruluşu tehlikeye attı. Saldırganlar, kendi barındırdıkları SimpleHelp 5.0.1 örneğini bir ConnectWise ScreenConnect rölesiyle birleştirerek her enfekte ana bilgisayarda iki bağımsız erişim kanalı oluşturuyor.

Enfeksiyonlar, ABD Sosyal Güvenlik Kurumu'nu (SSA) taklit eden ve alıcılardan adreslerini doğrulamalarını ve bir hesap özeti indirmelerini isteyen e-postalarla başlıyor. Bağlantı, kurbanları Meksika'ya ait güvenliği ihlal edilmiş bir iş sitesine (gruta.com.mx) yönlendiriyor. Bu site, SSA markalı bir bilgi toplama sayfası sunuyor ve ardından ayrı bir güvenliği ihlal edilmiş cPanel hesabında barındırılan bir yüke yönlendiriyor. İndirilen çalıştırılabilir dosya, SimpleHelp Ltd tarafından imzalanmış ve Thawte sertifikasına sahip bir JWrapper paketli ikili dosya. Geçerli imza, tipik kötü amaçlı yazılımların kırmızı uyarısı yerine mavi doğrulanmış yayıncı uyarısı göstererek kurban etkileşimini kolaylaştırıyor.

Onaylandıktan sonra yükleyici, 'Remote Access Service' adlı bir Windows hizmeti kaydediyor ve SafeBoot\Network kayıt defteri kovanına yazarak Güvenli Mod yeniden başlatmalarında bile hayatta kalmasını sağlıyor. Bir canlılık izleyicisi, RAT sürecini izliyor ve durdurulursa otomatik olarak yeniden başlatıyor. SimpleHelp yapısı, 2018'de süresi dolan bir sertifikaya sahip kırık bir 2017 paketi olup, işletmecilerin lisans maliyeti veya satıcı izi bırakmadığını gösteriyor. Bir saatlik gözlemde, Securonix yalnızca arka plan yoklamasıyla oluşturulan 986 süreç oluşturma olayı kaydetti. Üç döngü eşzamanlı çalışıyordu: her 15 saniyede bir WiFi arayüzü kontrolü, her 23 saniyede bir fare konumu yoklaması ve her 67 saniyede bir senkronize güvenlik ürünü numaralandırma taraması. Fare konumu döngüsü, saldırganların kurbanın bilgisayardan uzaklaşmasını beklediğini gösteriyor.

Nasıl Önlem Alınmalı?

Securonix ayrıca, RAT'ın wmic.exe.bak olarak yeniden adlandırılmış bir kopya aracılığıyla WMIC sorguları yürüttüğü bir gizlenme tekniğine dikkat çekti. Bu, orijinal dosya adına dayalı EDR kurallarını atlatıyor. Çift RMM tasarımı kasıtlıydı. Araştırmacılar, 'Kötü amaçlı yazılım BT yönetim yazılımı olduğunda, onu yakalayan tek şey geride bıraktığı davranıştır' dedi. Savunmacılara, yüksek doğruluklu uç nokta telemetri sistemleri kullanmaları, onaylı araç envanterleri tutmaları ve imzalı RMM ikili dosyalarından olağandışı süreç soy ağaçlarını avlamaları tavsiye edildi.

Paylaş: