Sahte kargo teslimatı yemlerini kullanan yeni bir kimlik avı kampanyası, STRRAT uzaktan erişim truva atını kurbanın şüphelenmeyen cihazlarına yükler.
Fortinet, yeni kampanyayı, küresel denizcilik endüstrisindeki bir dev olan Maersk Shipping’in kimliğine bürünen ve görünüşte meşru e-posta adreslerini kullanan kimlik avı e-postalarını tespit ettikten sonra keşfetti.
Alıcı ekli belgeyi açarsa, çalışan makro kodu STRAT kötü amaçlı yazılım bilgileri ve hatta sahte fidye yazılımı saldırıları çalabilen güçlü bir uzaktan erişim truva atı.
Maersk kargo e-postalarının kimliğine bürünme
Kimlik avı e-postalarının başlık bilgilerinde görüldüğü gibi, mesajlar, e-posta güvenlik çözümleri tarafından işaretlenme riskini artıran yeni kayıtlı alan adları üzerinden yönlendirilir.
E-posta, bir gönderi, teslimat tarihlerindeki değişiklikler veya hayali bir satın almayla ilgili bildirimler hakkında bilgi olduğunu iddia eder ve bir Excel eki veya ilgili fatura gibi görünen bir e-postanın bağlantılarını içerir.
Kaynak: Fortinet
Bazı durumlarda, Fortinet analistleri, STRRAT kötü amaçlı yazılımını içeren ZIP dosyalarını taşıyan e-postaları örneklediler, bu nedenle belge biçiminde bir ara damlalık kullanılmadı.
Aktörler, güvenlik ürünlerinden tespit edilmekten kaçınmak için Allatori aracını kullanarak içerilen paketleri gizlediler.
STRRAT enfeksiyonu, yapılandırma dosyasının şifresini çözerek, kötü amaçlı yazılımı yeni bir dizine kopyalayarak ve kalıcılık için yeni Windows kayıt defteri girdileri ekleyerek başlar.
Kaynak: Fortinet
STRAT tehdidi
STRRAT kötü amaçlı yazılımı önce ana bilgisayar sistemi hakkında mimari ve üzerinde çalışan herhangi bir virüsten koruma aracı gibi temel bilgileri toplar ve yerel depolama ve ağ kapasitesini kontrol eder.
İşlevselliği açısından, STRRAT aşağıdakileri gerçekleştirebilir:
- Kullanıcı tuş vuruşlarını günlüğe kaydet
- Uzaktan kumanda işlemini kolaylaştırın
- Chrome, Firefox ve Microsoft Edge gibi web tarayıcılarından şifreleri alın
- Outlook, Thunderbird ve Foxmail gibi e-posta istemcilerinden şifreleri çalın
- Bir enfeksiyonu simüle etmek için bir sözde fidye yazılımı modülü çalıştırın
Bu son kısım ilginç çünkü sahte fidye yazılımı saldırısında hiçbir dosya şifrelenmez. Bu nedenle, büyük olasılıkla kurbanın dikkatini gerçek sorundan, yani verilerin sızdırılmasından uzaklaştırmak için kullanılır.
Bununla birlikte, bu modülün esasen STRRAT’ın örtüsünü kaldırdığı düşünülürse, varlığı ve dağıtımı biraz çelişkilidir.
Kaynak: Fortinet
Son olarak, kötü amaçlı yazılımın iletişim yöntemi de gizlilik için çok iyi optimize edilmemiştir.
“Wireshark’taki trafiği incelemek, STRRAT’ın son derece gürültülü olduğunu gösteriyor. Bu, muhtemelen soruşturma sırasında C2 kanalının çevrimdışı olmasından kaynaklanıyor” diye açıklıyor. Fortinet’in raporu
“Daha fazla talimat alma çabası içinde, örnek, bazı durumlarda daha fazla olmasa da, 1780 ve 1788 numaralı bağlantı noktaları üzerinden bir saniye aralıklarla iletişim kurmaya çalışır.”
Kaynak: Fortinet
STRRAT gibi Truva atları, daha az karmaşık ve daha rastgele dağıtıldıkları için genellikle göz ardı edilir. Bununla birlikte, bu kimlik avı kampanyası, dolaşımdaki daha az tehdidin hala şirketlere zarar verici darbeler verebileceğini gösteriyor.
Bu kampanyada kullanılan oltalama e-postaları, nakliye ve nakliye ile uğraşan şirketlerde günlük kurumsal iletişimle çok homojen bir şekilde harmanlanıyor, bu nedenle yapılacak hasarın sadece yorgun veya dikkatsiz bir çalışan olması gerekiyor.