Siber güvenlik firması Darktrace, Windows Defender'ı atlatmak ve kripto madenciliği yazılımı kurmak için tasarlanmış yeni bir cryptojacking kampanyası tespit etti.
Özet
Darktrace, Windows sistemlerini hedef alan bir cryptojacking kampanyasını tespit etti.
Kampanya, kripto paraları madenciliği yapmak için NBminer'ı gizlice dağıtmayı içeriyor.
Temmuz ayının sonlarında ilk kez tespit edilen cryptojacking kampanyası, bir bilgisayarın işlem gücünü gizlice kripto madenciliği yapmak için ele geçiren çok aşamalı bir enfeksiyon zincirini içermektedir. Darktrace araştırmacıları Keanna Grelicha ve Tara Gould, crypto.news ile paylaşılan bir raporda bunu açıkladı.
Araştırmacılara göre, kampanya özellikle Windows tabanlı sistemleri hedef alıyor ve kötü niyetli aktörlerin zararlı betikler çalıştırmasına ve ana sisteme ayrıcalıklı erişim elde etmesine olanak tanıyan Microsoft'un yerleşik komut satırı kabuğu ve betik dili olan PowerShell'i istismar ediyor.
Bu kötü niyetli betikler, doğrudan sistem belleğinde (RAM) çalışacak şekilde tasarlanmıştır ve bu nedenle, genellikle bir sistemin sabit disklerindeki dosyaları taramaya dayanan geleneksel antivirüs araçları, kötü niyetli işlemi tespit edememektedir.
Bundan sonra, saldırganlar genellikle BT profesyonelleri tarafından görevleri otomatikleştirmek için kullanılan bir Windows aracı olan AutoIt programlama dilini kullanarak meşru bir Windows işlemine kötü niyetli bir yükleyici enjekte ederler. Bu işlem daha sonra, sistemde belirgin izler bırakmadan bir kripto madenciliği programını indirip çalıştırır.
Ek bir savunma hattı olarak, yükleyici bir dizi ortam kontrolü yapmak üzere programlanmıştır; örneğin, bir sandbox ortamının izlerini taramak ve ana bilgisayarı kurulu antivirüs ürünleri için incelemek gibi.
Yürütme yalnızca Windows Defender'ın tek aktif koruma olması durumunda devam eder. Ayrıca, enfekte olmuş kullanıcı hesabı yönetici ayrıcalıklarına sahip değilse, program yükseltilmiş erişim sağlamak için Kullanıcı Hesabı Denetimi'ni atlatmaya çalışır.
Bu koşullar yerine getirildiğinde, program, Ravencoin (RVN) ve Monero (XMR) gibi kripto paraları madencilik yapmak için bir bilgisayarın grafik işleme birimini kullanan tanınmış bir kripto madenciliği aracı olan NBMiner'i indirir ve çalıştırır.
Bu durumda, Darktrace, "cihazın dışa bağlantılar kurmasını engelleyerek ve şüpheli uç noktalara belirli bağlantıları engelleyerek" Saldırıya Otonom Yanıt sistemiyle müdahale edebildi.
"Kripto para birimi popülaritesini artırmaya devam ederken, yazım anında küresel kripto para piyasa değerinin ( neredeyse 4 trilyon USD olmasıyla görüldüğü gibi, tehdit aktörleri kripto madenciliğini karlı bir girişim olarak görmeye devam edecekler," Darktrace araştırmacıları yazdı.
Cryptojacking kampanyaları sosyal mühendislik aracılığıyla
Temmuz ayında, Darktrace, kötü niyetli aktörlerin gerçek şirketleri taklit etmek gibi karmaşık sosyal mühendislik taktikleri kullanarak kullanıcıları kripto çalan kötü amaçlı yazılımlar yayan değiştirilmiş yazılımları indirmeye kandırdığı ayrı bir kampanyayı işaret etti.
Önceki bahsedilen cryptojacking planının aksine, bu yaklaşım hem Windows hem de macOS sistemlerini hedef aldı ve kurbanların kendileri, şirket içindekilerle etkileşimde bulunduklarına inanarak bunu gerçekleştirdi.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Darktrace, Windows Defender'ı aşabilen yeni bir cryptojacking kampanyasını işaret ediyor.
Siber güvenlik firması Darktrace, Windows Defender'ı atlatmak ve kripto madenciliği yazılımı kurmak için tasarlanmış yeni bir cryptojacking kampanyası tespit etti.
Özet
Temmuz ayının sonlarında ilk kez tespit edilen cryptojacking kampanyası, bir bilgisayarın işlem gücünü gizlice kripto madenciliği yapmak için ele geçiren çok aşamalı bir enfeksiyon zincirini içermektedir. Darktrace araştırmacıları Keanna Grelicha ve Tara Gould, crypto.news ile paylaşılan bir raporda bunu açıkladı.
Araştırmacılara göre, kampanya özellikle Windows tabanlı sistemleri hedef alıyor ve kötü niyetli aktörlerin zararlı betikler çalıştırmasına ve ana sisteme ayrıcalıklı erişim elde etmesine olanak tanıyan Microsoft'un yerleşik komut satırı kabuğu ve betik dili olan PowerShell'i istismar ediyor.
Bu kötü niyetli betikler, doğrudan sistem belleğinde (RAM) çalışacak şekilde tasarlanmıştır ve bu nedenle, genellikle bir sistemin sabit disklerindeki dosyaları taramaya dayanan geleneksel antivirüs araçları, kötü niyetli işlemi tespit edememektedir.
Bundan sonra, saldırganlar genellikle BT profesyonelleri tarafından görevleri otomatikleştirmek için kullanılan bir Windows aracı olan AutoIt programlama dilini kullanarak meşru bir Windows işlemine kötü niyetli bir yükleyici enjekte ederler. Bu işlem daha sonra, sistemde belirgin izler bırakmadan bir kripto madenciliği programını indirip çalıştırır.
Ek bir savunma hattı olarak, yükleyici bir dizi ortam kontrolü yapmak üzere programlanmıştır; örneğin, bir sandbox ortamının izlerini taramak ve ana bilgisayarı kurulu antivirüs ürünleri için incelemek gibi.
Yürütme yalnızca Windows Defender'ın tek aktif koruma olması durumunda devam eder. Ayrıca, enfekte olmuş kullanıcı hesabı yönetici ayrıcalıklarına sahip değilse, program yükseltilmiş erişim sağlamak için Kullanıcı Hesabı Denetimi'ni atlatmaya çalışır.
Bu koşullar yerine getirildiğinde, program, Ravencoin (RVN) ve Monero (XMR) gibi kripto paraları madencilik yapmak için bir bilgisayarın grafik işleme birimini kullanan tanınmış bir kripto madenciliği aracı olan NBMiner'i indirir ve çalıştırır.
Bu durumda, Darktrace, "cihazın dışa bağlantılar kurmasını engelleyerek ve şüpheli uç noktalara belirli bağlantıları engelleyerek" Saldırıya Otonom Yanıt sistemiyle müdahale edebildi.
"Kripto para birimi popülaritesini artırmaya devam ederken, yazım anında küresel kripto para piyasa değerinin ( neredeyse 4 trilyon USD olmasıyla görüldüğü gibi, tehdit aktörleri kripto madenciliğini karlı bir girişim olarak görmeye devam edecekler," Darktrace araştırmacıları yazdı.
Cryptojacking kampanyaları sosyal mühendislik aracılığıyla
Temmuz ayında, Darktrace, kötü niyetli aktörlerin gerçek şirketleri taklit etmek gibi karmaşık sosyal mühendislik taktikleri kullanarak kullanıcıları kripto çalan kötü amaçlı yazılımlar yayan değiştirilmiş yazılımları indirmeye kandırdığı ayrı bir kampanyayı işaret etti.
Önceki bahsedilen cryptojacking planının aksine, bu yaklaşım hem Windows hem de macOS sistemlerini hedef aldı ve kurbanların kendileri, şirket içindekilerle etkileşimde bulunduklarına inanarak bunu gerçekleştirdi.