BlueVoyant'ın bir bölümü olan Tehdit Füzyon Merkezi (TFC), hukuk firmalarından gelen sahte faturaların yer aldığı "NaurLegal" kimlik avı kampanyasını ortaya çıkardı. Saldırganlar, kötü amaçlı yazılım bulaşmış PDF belgelerine, OneNote veya Excel dosyalarına güveniyor.
Saldırganlar hukuk firması gibi davranarak kurbanlarının hukuk hizmet sağlayıcılarına duyduğu güveni kötüye kullanıyor. Kampanyanın adı "NaurLegal" ve saldırıların siber suç grubu Narwhal Spider (Storm-0302, TA544 olarak da bilinir) tarafından düzenlendiği düşünülüyor.
Saldırganlar, kötü amaçlı PDF dosyalarını saygın hukuk firmalarından gelen orijinal görünümlü faturalar olarak gizler; bu, çeşitli sektörlerdeki mağdurları cezbetmeyi amaçlayan bir taktiktir. NaurLegal kampanyası, "Fatura_[numara]_from_[hukuk firması adı].pdf" gibi meşru görünen dosya adlarına sahip PDF dosyaları oluşturup göndererek meşruluk numarası yapıyor. Bu strateji, alıcıların günlük iş hayatında rutin olarak yasal belgeler alma beklentisinden yararlanır. Bu yaklaşım, alıcıların kötü amaçlı yazılım bulaşmış dosyaları açma olasılığını artırır.
Kullanılan kötü amaçlı yazılımın teknik ayrıntıları
NaurLegal kampanya altyapısı, WikiLoader ile ilişkili alanları içerir ve bunların takip faaliyetleri, bu kötü amaçlı yazılım ailesiyle ilişkili olduğunu gösterir. WikiLoader aşağıdaki gibi karmaşık gizleme teknikleriyle tanınır: B. korumalı alan ortamlarını atlamak için belirli dizeler için Wikipedia yanıtlarını kontrol etmek. Narwhal Spider geçmişte WikiLoader'ı kullanmıştı ve grubun bu kampanyaya dahil olması, ek yıkıcı kötü amaçlı yazılım yüklerinin ileride konuşlandırılabileceğini gösteriyor.
Virus Total'den gelen raporlar, IcedID'nin bu kampanyayla ilişkili olası bir yük olabileceğini gösteriyor. Ek olarak, bu kampanyanın C2 altyapısı, Narwhal Spider tarafından kullanılan iyi bilinen bir taktik olan, yalnızca güvenliği ihlal edilmiş WordPress sitelerine dayanıyor gibi görünüyor. Saldırıya uğrayan kuruluşlar tarafından yönetilen, fikri mülkiyet, kurumsal stratejiler ve kişisel bilgileri içeren verilerin hassas doğası göz önüne alındığında, başarılı bir izinsiz girişin riskleri özellikle yüksektir.
Tehdit aktörleri erişim alanlarını genişletiyor
Geçmişte, Narwhal Spider'ın WikiLoader kampanyaları öncelikle İtalyan kuruluşlara odaklanıyordu ve kötü amaçlı yazılımları Microsoft Excel, OneNote ve PDF dosyaları da dahil olmak üzere çeşitli e-posta ekleri aracılığıyla dağıtıyordu. Ancak NaurLegal kampanyası bu coğrafi odaklı saldırılardan bir sapmaya işaret ediyor ve bunun yerine yasal yasa tasarılarıyla ilgilenmesi muhtemel daha geniş bir kuruluş yelpazesini hedef alıyor. Stratejideki bu değişiklik, Narwhal Spider'ın uyum sağlama yeteneğini ve çeşitli güvenlik açıklarından yararlanma çabalarını ve sosyal mühendislik taktiklerini öne çıkarıyor.
BlueVoyant'ın 2023 Tedarik Zinciri Savunmasının Durumu Raporu, tedarik zincirlerine ve güvenilir ortak ilişkilerine yönelik saldırıların dünya çapında artmaya devam ettiğini gösteriyor. Narhwal Spider gibi tehdit aktörlerinin faaliyetlerinin genişlemesi bu eğilimi daha da güçlendiriyor.
Önerilen koruyucu önlemler
Kötü amaçlı yazılım bulaşmış PDF dosyalarının meşru hukuk firmalarından gelen faturalar gibi gizlenerek kullanılması, bu kampanyanın bir parçası olarak gerçekleştirilen saldırıların önemli bir göstergesidir. Güvenlik ekipleri, özellikle harici kaynaklardan gelen ve "Fatura_[numara]_from_[hukuk firmasının adı]pdf" şeklinde adlandırılan PDF formatındaki faturaların alışılmadık derecede yüksek hacmine karşı dikkatli olmalıdır. PDF eklerini kötü amaçlı içerik açısından analiz edebilen modern e-posta güvenlik çözümlerinin kullanılması, bu tehditlerin tespit edilmesine ve kontrol altına alınmasına yardımcı olabilir.
Gelen e-postaları kontrol etmenin yanı sıra ağ bağlantılarını izlemek de bu tür saldırıların tespit edilmesinde önemli bir yöntemdir. Kampanya, C2 iletişimleri için güvenliği ihlal edilmiş WordPress web sitelerine dayanıyor ve olağandışı trafik modelleri veya WordPress web sitelerine giden ve WordPress web sitelerinden gelen trafikteki ani artışlar olası bir enfeksiyona işaret edebilir.
Daha fazlası bluevoyant.com'da
BlueVoyant Hakkında
BlueVoyant, iç ve dış siber savunma yeteneklerini, ağları, uç noktaları, saldırı yüzeylerini ve tedarik zincirlerinin yanı sıra tehditlere karşı açık, derin ve karanlık web'i sürekli izleyen, sonuç odaklı, bulut tabanlı bir siber güvenlik çözümünde birleştirir. Kapsamlı siber savunma ürünleri ve hizmetleri, kuruluşları korumak için tehditleri hızla aydınlatır, araştırır ve ortadan kaldırır.