Mayıs ayının son günü, gelen kutularımdan biri ziyaret ettiğim yoga stüdyosunun sahiplerinden birinden e-postalar almaya başladı. Ocak ayında stüdyonun web sitesi aracılığıyla gönderdiğim ve ertesi gün ortak sahip tarafından gönderilen bir e-postada çözülen bir mesajla ilgiliydi. Şimdi, işte buradaydı, dört ay sonra bana tekrar e-posta gönderiyordu.
E-posta yazarı, “Geçen hafta sohbet ettiğimiz belgelerin altında listelenmiştir” diye yazdı. “Ekteki dosyalar hakkında herhangi bir sorunuz varsa bana ulaşın.” Ekli parola korumalı bir zip dosyası vardı. İletinin gövdesinin altında, ortak sahibin bana Ocak ayında gönderdiği yanıt vardı. Bu e-postalar, sonraki birkaç hafta boyunca her biri farklı bir adresten günde bir veya iki kez gelmeye başladı. Dosyalar ve parolalar sık sık değiştirildi, ancak Ocak e-posta ileti dizisi de dahil olmak üzere temel biçim tutarlı kaldı.
Güvenlik firması Proofpoint’teki araştırmacıların yardımıyla artık e-postaların TA578 dedikleri bir suç grubunun işi olduğunu biliyorum. TA578, güvenlik endüstrisinde ilk erişim aracısı olarak bilinen şeydir. Bu, son kullanıcı cihazlarından ödün verdiği anlamına gelir topluca fırsatçı bir şekilde, kötü niyetli dosyalarla mümkün olduğunca çok adrese spam göndererek. Çete daha sonra fidye yazılımı, kripto hırsızlığı ve diğer kampanya türlerinde kullanılmak üzere tehlikeye attığı makinelere erişimi diğer tehdit aktörlerine satar.
İplik kaçırma nedir?
Bir şekilde grup üyeleri yoga stüdyoma gönderdiğim mesajı ele geçirdi. En basit açıklama, stüdyo sahibinin bilgisayarının veya e-posta hesabının ele geçirilmiş olması olabilir, ancak başka olasılıklar da var. E-posta adresim ve sahibin Ocak ayında bana gönderdiği orijinal e-posta ile TA578, artık ticaretini yapmak için hammaddelere sahipti.
Proofpoint, soruları yanıtlayan bir e-postada, “Bu kampanyadaki mesajlar, önceki, iyi niyetli e-posta ileti dizilerine verilen yanıtlar gibi görünüyor” dedi. “Bu teknik, ileti dizisi ele geçirme olarak adlandırılır. Tehdit aktörleri, alıcıyı güvendikleri bir kişiyle etkileşim kurduklarına inandırmak için bu tekniği kullanırlar, böylece konuşmanın bir parçası olarak gönderilebilecekleri ekleri indirme veya açma konusunda daha az şüphelenirler. . Tehdit aktörleri genellikle bu zararsız mesajları önceden kötü amaçlı yazılım bulaştırmaları veya hesap ihlalleri yoluyla çalar.”
Açıldığında, ekli dosyalar, birden fazla tehdit aktörünün güvenliği ihlal edilmiş makinede ek yükleri indirmek ve yürütmek için kullandığı kötü niyetli bir indirici olan Bumblebee’yi kurdu. Proofpoint, tehdit aktörlerinin Bumblebee’yi ilk kez Mart ayında e-posta tabanlı kampanyalarda kullandığını gözlemledi.
Aldığım e-postalara eklenen dosyalar, bir LNK kısayol dosyası ve bir DLL dosyası ile birlikte gömülü bir ISO veya IMG dosyası içeriyordu. LNK dosyası, kötü amaçlı yazılımı başlatmak için DLL’yi belirli bir giriş noktasında yürütmek için kullanılır. Proofpoint, TA578 Bumblebee kampanyalarının genellikle Cobalt Strike ve Meterpreter kötü amaçlı yazılımlarının ikinci aşama yüklerini indirmeye devam ettiğini söylüyor.
Neyse ki, e-postaların kötü niyetli olduğunu hemen hemen anladım, ancak bazı insanların oyuna nasıl kanabileceğini görmek zor değil. Bir yoga stüdyosuna gönderilen rutin bir mesajın kötü amaçlı yazılım saldırısına kapı açacağını kim düşünebilirdi?
Sahibine e-posta gönderdim ve olaylar dizisini açıkladım ve stüdyonun kullandığı bir hesabın veya makinenin neredeyse kesinlikle tehlikeye atıldığı konusunda uyardım. Hiç yanıt almadım. Takip ettiğimde, stüdyonun web sayfasından başka bir mesaj göndererek biri yanıt verdi: “Bu tür bir iletişim aldığınızı duyduğuma üzüldüm ama tarafımızda size e-posta gönderecek bir sistem veya sunucu yok. Senin tarafında yanlış giden bir şey olmadığından emin olmak için iki kez kontrol ederim.”
Tüm bunlar, bu tür kötü niyetli e-postaları almanın 2022’de hemen hemen hayatın bir gerçeği olduğunu söylüyor. Çevrimiçi alışveriş yapıyorsanız veya sosyalleşiyorsanız, zincirdeki birinin tehlikeye girmesi ve bu uç noktanın, ümidiyle istismar edilmesi neredeyse kaçınılmazdır. sana bulaşıyor.
Çıkarım: Geçmişte aldığınız gerçek e-posta ileti dizilerini kullanarak tanıdığınızı düşündüğünüz kişilerden veya adreslerden kötü niyetli e-postalar bekleyin. Karakterinizin dışında bir şey göründüğünde, bir adım geri atın ve ya ayrı bir e-posta dizisinde bir tartışma başlatın ya da kişiyi doğrudan arayın. Ve yoga stüdyomdaki deneyimimin gösterdiği gibi, diğer kişinin neler olduğunu anlamasını beklemeyin. Her şeyden önce, bağlantıları tıklamayın veya ekleri açmayın.