Rus organizasyonları, daha önce Batavia adlı belgelenmemiş bir Windows casus yazılımı sunan devam eden bir kampanyanın bir parçası olarak hedeflendi.
Siber güvenlik satıcısı Kaspersky’ye göre etkinlik, Temmuz 2024’ten beri aktif.
Rus şirketi, “Hedeflenen saldırı, sözleşme imzalama bahanesi altında gönderilen kötü niyetli bağlantılar içeren yem e -postalarıyla başlıyor.” Dedi. “Saldırının temel amacı, kuruluşları daha önce bilinmeyen Batavia casus yazılımları ile enfekte etmektir, bu da dahili belgeleri çalmaya devam eder.”
E-posta mesajları “oblast-ru” etki alanından gönderilir[.]com, “saldırganların kendilerine ait olduğu söylenir. Dijital misyonların içine yerleştirilmiş bağlantılar, Visual Basic kodlanmış bir komut dosyası (.VBE) dosyası içeren bir arşiv dosyasının indirilmesine yol açar.
Yürütüldüğünde, komut dosyası tehlikeye atılan ana bilgisayarın profilini oluşturur ve sistem bilgilerini uzak sunucuya söndürür. Bunu, Delphi’de yazılmış bir yürütülebilir ürün olan aynı sunucudan bir sonraki aşamalı yükün alınması takip eder.
Kötü amaçlı yazılım, sistem günlüklerini, ofis belgelerini ( *.doc, *.docx, *.ods, *.odt, *.pdf, *.xls ve *.xlsx) toplarken kurbana sahte bir sözleşme sergiler. Veri toplama ayrıca ana bilgisayara bağlı çıkarılabilir cihazlara da uzanır.
Delphi kötü amaçlı yazılımların bir başka özelliği, daha sonraki koleksiyon için daha geniş bir dosya uzantısı setini hedefleyen sunucudan bir ikili olarak indirmektir. Bu, resimler, e -postalar, Microsoft PowerPoint sunumları, arşiv dosyaları ve metin belgelerini içerir ( *.jpeg, *.jpg, *.cdr, *.csv, *.eml, *.ppt, *.pptx, *.odp, *.rar, *.zip, *.rtf ve *.txt).
Yeni toplanan veriler daha sonra farklı bir alana iletilir (“RU-Exchange[.]com “), bilinmeyen bir yürütülebilir dosyanın saldırı zincirini daha da sürdürmek için dördüncü aşamalı olarak indirildiği yer.
Kaspersky’nin telemetri verileri, birkaç düzine kuruluşta 100’den fazla kullanıcının geçen yıl kimlik avı e -postaları aldığını gösteriyor.
Şirket, “Saldırı sonucunda Batavia, kurbanın belgelerini ve yüklü programların, sürücülerin ve işletim sistemi bileşenlerinin bir listesi gibi bilgileri de söndürüyor.” Dedi.
Açıklama, Fortinet Fortiguard Labs’ın Norddragiscan adlı bir Windows Stealer kötü amaçlı yazılım sunan kötü niyetli bir kampanyayı detaylandırdığı gibi geliyor. Tam başlangıç erişim vektörü net olmasa da, bir RAR arşivinin indirilmesini tetiklemek için bir bağlantı yayan bir kimlik avı e -postası olduğuna inanılmaktadır.
Güvenlik araştırmacısı Cara Lin, “Norddragiscan, yüklendikten sonra, ev sahibi inceliyor ve belgeleri kopyalıyor, tüm krom ve firefox profillerini hasat ediyor ve ekran görüntüleri alıyor.” Dedi.
Arşiv içinde, uzaktan barındırılan bir HTML uygulamasını (HTA) yürütmek için gizli bir şekilde “mShta.exe” i kullanan bir Windows Kısayol (LNK) dosyası bulunur. Bu adım, iyi huylu bir tuzak belgesinin alınmasıyla sonuçlanırken, hain bir .NET yükü sessizce sisteme bırakılır.
Norddragiscan, Stealer kötü amaçlı yazılım olarak adlandırıldığı gibi, uzak bir sunucu ile bağlantı kurar (“Kpuszkiev[.]com “), Windows kayıt defteri değişiklikleri yoluyla kalıcılığı ayarlar ve hassas verileri toplamak ve bilgileri bir HTTP sonrası isteği aracılığıyla sunucuya geri göndermek için tehlikeye atılan makinenin kapsamlı bir şekilde keşif yapar.
“RAR dosyası, MSHTA.EXE’yi kötü amaçlı bir HTA komut dosyası yürütmeye çağıran LNK çağrıları içerir ve Ukrayna’da bir tuzak belgesi görüntüledi,” dedi Lin. “Sonunda, yükünü sessizce arka plana yükler. Norddragiscan, ana bilgisayar tarama, bir ekran görüntüsü yakalayabilir, belgeleri ve PDF’leri çıkarabilir ve krom ve Firefox profillerini koklayabilir. “