.webp "APT Bilgisayar Korsanları Kötü Amaçlı Komut Dosyalarını Barındırmak İçin Google Drive ve OneDrive'ı Kullanıyor")
Tehdit aktörleri, kötü amaçlı yazılım dağıtmak ve komut dosyaları, RAT (Uzaktan Erişim Truva Atı) kötü amaçlı yazılımları ve ek kötü amaçlı yazılım indirebilen veya sızıntıya duyarlı sahte belgeler gibi kötü amaçlı dosyalar yükleyerek kullanıcı bilgilerini çalmak için Google Drive, OneDrive ve Dropbox gibi bulut depolama hizmetlerinden yararlanıyor. bilgi.
Saldırılar, genellikle bulutta depolanan diğer kötü amaçlı bileşenleri alıp çalıştıran bir kısayol dosyasıyla (LNK) başlayan bir dosya zincirini içeriyor; saldırganların kötü amaçlı yazılımı kolayca güncellemesine ve potansiyel olarak yeni kötü amaçlı işlevler dağıtmasına olanak tanıyor.
“Polis Siber Soruşturma Bürosu – İnternet Kullanım Geçmişi (PC’nizi güvende tutmak için şimdi kontrol edin).html.lnk” adlı gizlenmiş bir LNK dosyası, PowerShell komutlarını içeren Base64 kodlu bir verinin kodunu çözen bir PowerShell betiğini başlatır.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Komutlar, kullanıcının TEMP dizininde geçici bir dosya (ms_temp_08.ps1) olarak kaydedilir ve komut dosyası, yürütme ilkesi kısıtlamalarını atlar ve geçici PowerShell dosyasını gizli bir pencerede yürütür.
.webp)
Kötü amaçlı komut dosyası ms_temp_08.ps1, “Polis Siber Soruşturma Bürosu – İnternet Kullanım Geçmişi (PC’nizi güvende tutmak için şimdi kontrol edin).html” adlı sahte bir belgeyi indirir ve çalıştırır.
Daha sonra TEMP klasöründe ms_update.ps1 adında yeni bir PowerShell betiği oluşturur ve bunu Görev Zamanlayıcı’yı kullanarak her 30 dakikada bir çalışacak şekilde kaydeder.
Ek olarak, SoJ****-F.txt adlı başka bir dosyayı indirir ve bunu yürütülmek üzere TEMP klasörüne First.ps1 olarak kaydeder.
Kötü amaçlı komut dosyası “ms_update.ps1”, kurbanın sisteminde geçici bir dosya (“info.ps1”) olarak gizlenen, tehdit aktörünün kontrollü deposundan ikincil bir “info.ps1” komut dosyasını indirmek için Dropbox’tan yararlanır.
.webp)
AhnLab Güvenlik İstihbarat Merkezi (ASEC) tarafından yapılan analiz, Dropbox’ta kötü niyetli niyeti maskelemek için stratejik olarak yerleştirilmiş çeşitli formatlardaki (HTML, Word, HWP ve PDF) sahte belgeleri ortaya çıkardı.
Bu sahte belgeler, belirli mağdurları hedef almak için üniversite işbirliği talepleri, teslimat onayları ve dış ilişkiler gibi temaları kullanıyor ve muhtemelen sosyal mühendislik taktiklerinden yararlanıyor.
Bir LNK dosyası, saldırganın bulut depolama alanından iki PowerShell betiğini (first.ps1 ve info.ps1) indirir.
Adını potansiyel hedeflerden alan komut dosyaları, başlangıçta şüphelenilen Dropbox’tan farklı bir bulut depolama alanından alındı.
.webp)
Her hedefin, sahte bir belge ve kimlik doğrulama için çalınan Dropbox tokenlarını (client_id, client_secret ve Refresh_token) kullanan iki komut dosyası içeren özel bir klasörü var gibi görünüyor.
First.ps1, casus yazılım gibi davranan kötü amaçlı bir PowerShell betiğidir ve çalıştırıldığında işletim sistemi sürümü, güvenlik yazılımı bilgileri, önyükleme süresi, makine türü (dizüstü bilgisayar/masaüstü), çalışan işlemler ve hatta PowerShell güvenlik ayarlarınız dahil olmak üzere sistem ayrıntılarını toplar .
Kötü amaçlı PowerShell komut dosyası “info.ps1(SoJ****-X.txt)”, tehdit aktörünün Dropbox’ına bir dosya yükler ve Google Drive’dan ek kötü amaçlı yazılımlar indirir; burada yüklenen dosya muhtemelen komut dosyasının yürütülmesini kontrol eder ve değiştirilirse bilgi sızdırır .
.webp)
İndirilen kötü amaçlı yazılım, sıkıştırılmış bir dosya olarak gizlenir ve bir RTF belgesi gibi görünmesi için özel bir dosya imzasından yararlanır.
Bir C# (.NET) dosyası olan kötü amaçlı yazılım, sıkıştırması açıldıktan sonra yansıma kullanılarak bellekte yürütülür.
System-xn.dat dosyası, XenoRAT kötü amaçlı yazılımını başlatarak uzaktaki saldırganların virüslü cihazı kontrol etmesine olanak tanır.
XenoRAT diğer kötü amaçlı yazılımları yükleyebilir, süreçleri yönetebilir ve daha fazla talimat için bir komut ve kontrol sunucusuyla iletişim kurabilir.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo