Abonelik tabanlı bir hizmet olarak suç yazılımı (Caas) çözümü ile Cobalt Strike'ın kırılmış bir kopyası arasındaki potansiyel bağlantılar, araştırmacıların müşterilerinin sömürü sonrası faaliyetleri gerçekleştirmeleri için bir araç olarak sunulduğundan şüpheleniyor.
Prometheushizmet olarak adlandırılan hizmet, ilk olarak Ağustos 2021'de siber güvenlik şirketi Group-IB'nin siber suçlu grupları tarafından Campo Loader, Hancitor, IcedID, QBot, Buer Loader ve SocGholish'i Belçika'da dağıtmak için üstlenilen kötü amaçlı yazılım dağıtım kampanyalarının ayrıntılarını açıklamasıyla ortaya çıktı. Birleşik Devletler
Ayda 250 dolara mal olan bu sistem, hedeflenen sistemlerde kötü amaçlı yazılım yüklerini dağıtmak için tasarlanmış sahte açılış sayfalarına toplu ölçekte kimlik avı yönlendirmesini sağlamak için bir trafik yönlendirme sistemi (TDS) olarak Rus yer altı forumlarında pazarlanıyor.
BlackBerry Araştırma ve İstihbarat Ekibi, "Prometheus, tehdit gruplarının kötü amaçlı yazılımlarını veya kimlik avı işlemlerini kolaylıkla bulmasına olanak tanıyan eksiksiz bir hizmet/platform olarak kabul edilebilir." şuraya The Hacker News ile paylaşılan bir raporda. "Prometheus'un ana bileşenleri arasında kötü amaçlı bir altyapı ağı, kötü niyetli e-posta dağıtımı, yasal hizmetler aracılığıyla yasadışı dosya barındırma, trafik yönlendirme ve kötü amaçlı dosyalar teslim etme yeteneği yer alıyor."
Tipik olarak, yeniden yönlendirme, meşru web sitelerindeki kötü amaçlı reklamların (diğer bir deyişle kötü amaçlı reklamcılık) yardımıyla veya kötü amaçlı kod eklemek üzere kurcalanmış web siteleri aracılığıyla iki ana kaynaktan birinden yönlendirilir.
Prometheus örneğinde, saldırı zinciri bir HTML dosyası veya bir Google Dokümanlar sayfası içeren bir spam e-posta ile başlar; bu e-posta, etkileşimin ardından kurbanı, "bilgisayara hizmet edip etmeyeceğini" belirlemek için makinenin parmak izini alan bir PHP arka kapısı barındıran güvenliği ihlal edilmiş bir web sitesine yönlendirir. kötü amaçlı yazılım kurbanı olabilir veya onları kimlik avı dolandırıcılığı içerebilecek başka bir sayfaya yönlendirebilir.”
Bilgisayar korsanlığı forumlarında "Ma1n" adıyla anılan hizmet operatörleriyle bağlantılı en erken faaliyetin, yazarın yüksek kaliteli yönlendirmeler sunan diğer yasa dışı araçlara ve kurumsal adreslere postalama için PowerMTA kitlerine bağlanmasıyla Ekim 2018'de başladığı söyleniyor. 22 Eylül 2020'de Prometheus TDS'yi satışa çıkarmadan önce posta kutuları.
Hepsi bu değil. BlackBerry ayrıca, Prometheus ile ilgili faaliyetler ile yasa dışı bir sürüm arasında örtüşmeler buldu. Kobalt Grevi düşman simülasyonu ve tehdit öykünme yazılımı, kopyanın "Prometheus operatörlerinin kendileri tarafından çoğaltılması" olasılığını artırıyor.
Araştırmacılar, "Prometheus TDS ile bağlantılı birinin bu kırık kopyayı muhafaza etmesi ve satın alındığında sağlaması mümkün" dedi. “Bu crackli kurulumun standart bir playbook veya sanal makine (VM) kurulumunun bir parçası olarak sağlanması da mümkündür.”
Bu, DarkCrystal RAT dahil olmak üzere bir dizi tehdit aktörünün, Ficker Hırsızı, FIN7, Kakbot, ve IceID'nin yanı sıra REvil, Ryuk (Wizard Spider) gibi fidye yazılımı kartelleri, KaraMadde, ve Cerber, söz konusu kırık kopyayı son iki yılda kullandılar.
Bunun da ötesinde, aynı Kobalt Saldırı İşareti, şu şekilde izlenen bir ilk erişim aracısı ile ilişkili faaliyetlerle bağlantılı olarak da gözlemlenmiştir. Zebra2104Hizmetleri StrongPity, MountLocker ve Phobos gibi gruplar tarafından kendi kampanyaları için kullanıma sunulan .
Araştırmacılar, "TDS'ler yeni bir kavram olmasa da, karmaşıklık düzeyi, destek ve düşük finansal maliyet, bunun tehdit ortamının yakın gelecekte artması muhtemel bir eğilim olduğu teorisine güvenilirlik katıyor" dedi.
“Prometheus TDS gibi teklifleri kullanan grupların hacmi, özünde büyüklükleri ve seviyeleri ne olursa olsun grupların kötü niyetli faaliyetlerini destekleyen tam teşekküllü işletmeler olan bu yasadışı kiralama hizmetleri altyapısının başarısı ve etkinliği hakkında konuşuyor. kaynak bulma veya güdüler.”
Kaynak: https://thehackernews.com/2022/01/russian-hackers-heavily-using-malicious.html
