Μια νέα εκστρατεία spear-phishing, γνωστή ως Operation Poseidon, έχει εμφανιστεί, η οποία εκμεταλλεύεται τη διαφημιστική υποδομή της Google για τη διανομή κακόβουλου λογισμικού EndRAT, αποφεύγοντας τα παραδοσιακά μέτρα ασφαλείας.
Η επίθεση αξιοποιεί νόμιμους τομείς παρακολούθησης κλικ σε διαφημίσεις για να συγκαλύψει κακόβουλες διευθύνσεις URL, κάνοντάς τις να εμφανίζονται ως αξιόπιστη διαφημιστική κίνηση. Αυτή η τεχνική παρακάμπτει αποτελεσματικά τα φίλτρα ασφαλείας email και μειώνει τις υποψίες των χρηστών κατά το αρχικό στάδιο μόλυνσης.
Οι παράγοντες απειλής πίσω από αυτήν την εκστρατεία ανήκουν στην ομάδα Konni APT, η οποία στοχεύει οργανισμούς της Νότιας Κορέας μέσω εξελιγμένων τακτικών κοινωνικής μηχανικής.
Οι εισβολείς υποδύονται βορειοκορεατικές οργανώσεις ανθρωπίνων δικαιωμάτων και χρηματοπιστωτικά ιδρύματα για να δελεάσουν τα θύματα να κατεβάσουν κακόβουλα αρχεία.
Αυτά τα αρχεία συνήθως μεταμφιέζονται ως οικονομικά έγγραφα, επιβεβαιώσεις συναλλαγών ή επίσημες ειδοποιήσεις που συνδυάζονται άψογα με τις συνήθεις επιχειρηματικές επικοινωνίες.
.webp.png "Νέα επίθεση Spear-Phishing κατάχρηση του Google Ads για την Παράδοση EndRAT Malware")
Genians αναλυτές αναγνωρισθείς η εκστρατεία μέσω λεπτομερούς εγκληματολογικής ανάλυσης κακόβουλων σεναρίων που περιέχουν εσωτερικά αντικείμενα.
Οι ερευνητές ανακάλυψαν ότι οι επιτιθέμενοι χρησιμοποιούν παραβιασμένους ιστότοπους WordPress ως σημεία διανομής κακόβουλου λογισμικού και υποδομή εντολών και ελέγχου.
Αυτή η προσέγγιση επιτρέπει τον γρήγορο κύκλο εργασιών της υποδομής επίθεσης, υπονομεύοντας την αποτελεσματικότητα των παραδοσιακών πολιτικών αποκλεισμού διευθύνσεων URL και τομέα.
Η αλυσίδα εκτέλεσης κακόβουλου λογισμικού ξεκινά όταν τα θύματα κάνουν κλικ σε συγκαλυμμένες διαφημιστικές διευθύνσεις URL που είναι ενσωματωμένες σε μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing), τα οποία τα ανακατευθύνουν μέσω του τομέα ad.doubleclick.net της Google σε παραβιασμένους διακομιστές που φιλοξενούν κακόβουλα αρχεία ZIP.
.webp.png "Νέα επίθεση Spear-Phishing κατάχρηση του Google Ads για την Παράδοση EndRAT Malware")
Μέσα σε αυτά τα αρχεία υπάρχουν αρχεία συντομεύσεων LNK που ενεργοποιούν τη λήψη και την εκτέλεση σεναρίων AutoIt που μεταμφιέζονται σε έγγραφα PDF. Αυτά τα σενάρια φορτώνουν trojan απομακρυσμένης πρόσβασης της παραλλαγής EndRAT απευθείας στη μνήμη χωρίς να απαιτείται περαιτέρω αλληλεπίδραση με τον χρήστη.
Το κακόβουλο λογισμικό περιλαμβάνει μοναδικές συμβολοσειρές αναγνωριστικών, όπως “endServer9688” και “endClient9688” για επικοινωνίες εντολών και ελέγχου.
Οι εσωτερικές διαδρομές κατασκευής αποκάλυψαν την κωδική ονομασία της επιχείρησης «Ποσειδών», υποδηλώνοντας την οργανωμένη διαχείριση ως ξεχωριστή επιχειρησιακή μονάδα στο πλαίσιο του Konni APT.
Τεχνικές Εκτέλεσης Επίθεσης και Αποφυγής
Η επίθεση χρησιμοποιεί πολλαπλά επίπεδα διαφυγής εντοπισμού ξεκινώντας από το στάδιο παράδοσης email. Τα μηνύματα ηλεκτρονικού ψαρέματος περιέχουν μεγάλους όγκους αγγλικού κειμένου χωρίς νόημα που έχουν εισαχθεί σε αόρατες περιοχές HTML χρησιμοποιώντας το χαρακτηριστικό display:none.
Αυτή η τεχνική συμπλήρωσης περιεχομένου συγχέει τα συστήματα ανίχνευσης ψαρέματος που βασίζονται σε τεχνητή νοημοσύνη και τα φίλτρα ανεπιθύμητης αλληλογραφίας, επιμηκύνοντας τεχνητά το περιεχόμενο email και διαταράσσοντας τη λογική ανάλυσης λέξεων-κλειδιών.
.webp.jpeg "Νέα επίθεση Spear-Phishing κατάχρηση του Google Ads για την Παράδοση EndRAT Malware")
Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιλαμβάνουν επίσης διαφανή web beacons 1×1 pixel που στέλνουν αιτήματα HTTP σε διακομιστές που ελέγχονται από τους εισβολείς όταν ανοίγουν, επιτρέποντας στους παράγοντες απειλών να παρακολουθούν την αφοσίωση των παραληπτών και να επιβεβαιώνουν τις ενεργές διευθύνσεις email.
Οι διευθύνσεις URL παράδοσης κακόβουλου λογισμικού εκμεταλλεύονται τη δομή των νόμιμων διαφημιστικών πλατφορμών ενσωματώνοντας διευθύνσεις εντολών και ελέγχου σε παραμέτρους URL.
.webp.jpeg "Νέα επίθεση Spear-Phishing κατάχρηση του Google Ads για την Παράδοση EndRAT Malware")
Αυτό κάνει την ανακατεύθυνση να εμφανίζεται ως κανονική διαφημιστική κίνηση, μειώνοντας σημαντικά την πιθανότητα ανίχνευσης.
Τα ίδια τα αρχεία LNK καλύπτουν τις επεκτάσεις και τα εικονίδια αρχείων για να εμφανίζονται ως νόμιμα έγγραφα, ολοκληρώνοντας μια εξελιγμένη αλυσίδα επιθέσεων που έχει σχεδιαστεί για να αποφεύγει τα πλαίσια ασφαλείας που βασίζονται στην υπογραφή και τη συμπεριφορά.
