Velociraptor, meşru yazılımların tehdit aktörleri tarafından kötü amaçlarla kullanıldığı önemli bir örnek teşkil ediyor. Sophos Counter Threat Unit Araştırma Ekibi’nin raporuna göre, saldırganlar bu aracı kullanarak Visual Studio Code’u indirip çalıştırmakta ve böylece kendi kontrolündeki komut ve kontrol (C2) sunucusuna tünel açmayı hedeflemektedir.
Living-off-the-Land Tekniklerinde Yeni Evrim
Tehdit aktörleri, genellikle living-off-the-land (LotL) teknikleriyle meşru uzaktan izleme ve yönetim (RMM) araçlarını kullanırken, Velociraptor’un kullanımı sistemde kalıcılık sağlamak için taktiksel bir değişimi işaret ediyor. Bu yöntem, saldırganların kendi kötü amaçlı yazılımlarını dağıtma ihtiyacını azaltarak olay müdahale araçlarını kötüye kullanmalarına olanak tanıyor.
Cloudflare Workers ve MSI Yükleyicileri
Analizler, saldırganların Windows msiexec aracını kullanarak Cloudflare Workers alan adından MSI yükleyicileri indirdiğini ortaya koydu. Bu yükleyici Velociraptor’u kuruyor ve ardından Visual Studio Code’un kodlanmış PowerShell komutlarıyla indirilip tünel modunda çalıştırılmasını sağlıyor. Böylece uzaktan erişim ve kod yürütme mümkün hale geliyor. Ayrıca, ek yüklerin de msiexec ile workers.dev klasöründen indirildiği gözlemlendi.
Fidye Yazılımı Öncesi Uyarı ve Güvenlik Önerileri
Sophos, organizasyonların Velociraptor’un yetkisiz kullanımını izlemeleri ve araştırmaları gerektiğini belirtiyor. Uç nokta tespit ve yanıt sistemlerinin uygulanması, beklenmeyen araçların ve şüpheli davranışların takibi, sistem güvenliği ve düzenli yedekleme uygulamaları fidye yazılımı riskini azaltabilir.
Microsoft Teams Üzerinden İlk Erişim ve Yeni Kampanyalar
Hunters ve Permiso firmalarının raporlarına göre, tehdit aktörleri Microsoft Teams’i ilk erişim için kullanarak kurumsal iletişim platformlarını kötü amaçlı yazılım dağıtımı için silahlandırıyor. Bu saldırılar, BT yardım masası ekipleri gibi davranarak AnyDesk, DWAgent veya Quick Assist gibi uzaktan erişim araçlarını kuruyor ve sistem kontrolünü ele geçiriyor. Bu yöntemler, Black Basta gibi fidye yazılımı gruplarıyla ilişkilendirilen tekniklerle paralellik gösteriyor.
Phishing ve Kimlik Bilgisi Hırsızlığı
Saldırılar sırasında kullanıcılar Windows kimlik bilgisi istemleriyle kandırılıyor ve girilen şifreler sistemde metin dosyalarına kaydediliyor. Güvenlik araştırmacıları, Microsoft Teams üzerinden yapılan oltalamanın artık kenar bir teknik olmadığını, işbirliği araçlarına duyulan güvenin kötüye kullanıldığını vurguluyor.
Yeni Kötü Reklam Kampanyaları ve ADFS Manipülasyonu
Push Security’den Luke Jennings, saldırganların özel Microsoft kiracıları ve ADFS yapılandırmaları kurarak kullanıcıları Microsoft 365 oltalama sayfalarına yönlendirdiğini belirtiyor. Bu durum, URL tabanlı tespitleri zorlaştıran endişe verici bir gelişme olarak değerlendiriliyor.
Rapid7’nin Yanıtı ve Tespit Önerileri
Rapid7, Velociraptor’un açık kaynak kodlu olay müdahale aracının kötüye kullanıldığı raporlarının farkında olduğunu açıkladı. Organizasyonlara, Velociraptor’un kötüye kullanımını tespit etmeleri için Windows Kayıt Defteri anahtarlarının ve uygulama olay günlüklerinin izlenmesini önerdi. Ayrıca, imzasız ikili dosyaların çalıştırılması aracın değiştirilmiş sürümlerinin varlığına işaret edebilir.