Siber güvenlik araştırmacıları, ClickFix tekniğiyle Havoc PowerShell C2 dağıtan yeni bir kimlik avı kampanyasına dikkat çekiyor. Araştırmacılar, tehdit aktörünün her kötü amaçlı yazılım aşamasını SharePoint sitesinin arkasına gizlediğini belirtiyor. Değiştirilmiş Havoc Demon sürümü, Microsoft Graph API ile C2 iletişimini güvenilir hizmetler içinde gizliyor.
Saldırının başlangıç noktası, bir HTML eki (“Documents.html”) içeren bir kimlik avı e-postasıdır. ClickFix tekniği, kullanıcıları kötü amaçlı bir PowerShell komutunu terminal veya PowerShell’e kopyalayıp çalıştırmaya kandırır ve böylece bir sonraki aşama tetiklenir. Bu komut SharePoint sunucusunda mevcut olan PowerShell betiğini indirip çalıştırmak üzere yapılandırılmıştır.
SharePoint Siteleri Üzerinden Havoc Powershell
SharePoint konumundan bir Python betiği alıp çalıştırmaktır. Bu DLL dosyasını başlatabilen C ve ASM ile yazılmış yansıtmalı bir yükleyici olan KaynLdr için bir shellcode yükleyicisi görür. Bu DLL dosyası, bulaşmış sistemde Havoc Demon ajanını çalıştır. Fortinet, framework’ün bilgi toplama, dosya işlemleri gerçekleştirme, komut ve yük yürütme, belirteç (token) manipülasyonu ve Kerberos saldırıları yapma gibi özelliklere sahip olduğunu ekledi.
Bu gelişme, Malwarebytes’in, tehdit aktörlerinin Google Ads politikalarındaki bilinen bir açığı kullanarak PayPal müşterilerini sahte reklamlarla hedeflemeye devam ettiğini ortaya çıkarmasıyla birlikte geldi. Konu hakkında daha fazla bilgi edinmek için tıklayabilirsiniz.
Diğer yazılarımızı okumak isterseniz tıklayabilirsiniz.
Leave a Comment