Siber güvenlik araştırmacıları, tehlikeye atılan ana bilgisayarlardan hassas verileri çalmak için Asyncrat adlı bir uzaktan erişim truva atını (sıçan) bırakan etsiz bir yükleyici sunmak için ConnectWise Screenconnect’i meşru bir uzak izleme ve yönetim (RMM) yazılımı kullanan yeni bir kampanyanın ayrıntılarını açıkladılar.
Hacker News ile paylaşılan bir raporda, “Saldırgan, uzaktan erişim elde etmek için ScreAnconnect’i kullandı, daha sonra harici URL’lerden gizlenmiş ve gizlenmiş bileşenleri getiren ve çalışan PowerShell yükleyici yürüttü.” Dedi. “Bu bileşenler arasında, sahte bir ‘Skype Updrater’ planlanan görevle kalıcılığı korurken, en nihayetinde asyncrat’a açılan kodlanmış .NET düzenekleri vardı.”
Siber güvenlik şirketi tarafından belgelenen enfeksiyon zincirinde, tehdit aktörlerinin uzak bir oturum başlatmak ve uygulamalı klavye etkinliği aracılığıyla görsel bir temel komut dosyası yükü başlatmak için bir screenconnect dağıtımından yararlandığı bulunmuştur.
Hacker News, Hacker News’e verdiği demeçte, “Finansal ve diğer iş belgeleri kimlik avı e -postaları aracılığıyla gönderildiği için maskelenen truva atıflantmonect yükleyicilerinin gördük.” Dedi.
Komut dosyası, kendi adına, bir PowerShell komut dosyası aracılığıyla saldırgan kontrollü bir sunucudan iki harici yük (“logs.ldk” ve “logs.ldr”) almak için tasarlanmıştır. İki dosyanın ilki olan “Logs.LDK”, diske ikincil bir görsel temel komut dosyası yazmaktan sorumlu bir DLL’dir ve algılamadan kaçınmak için “Skype Update” olarak geçirerek planlanmış bir görev kullanarak kalıcılık oluşturmak için kullanır.
Bu görsel temel komut dosyası, saldırının başlangıcında gözlemlenen aynı PowerShell mantığını içerir. Planlanan görev, yükün her girişten sonra otomatik olarak yürütülmesini sağlar.
PowerShell komut dosyası, “logs.ldk” yüklemenin yanı sıra .Net montajı olarak yüklenen montaja girdi olarak “logs.ldr” i geçer, bu da bir ikili (“asynclient.exe”), bu da systrokes, sisker, parmak için sistem için kabarık ve tarama için kabiliyetle yüklenmeye yol açar, sistem, parmak için, sistem için, sisans için, sisans ve parlama yükü için yükleme yükü ile yüklenir, Google Chrome, Brave, Microsoft Edge, Opera ve Mozilla Firefox’taki uygulamalar ve tarayıcı uzantıları.
Toplanan tüm bu bilgiler sonunda bir komut ve kontrol (C2) sunucusuna (“3OSCH20.Duckdns[.]org “) yükleri yürütmek ve sömürme sonrası komutlar almak için kötü amaçlı yazılım işaretlerinin bulunduğu bir TCP soketi üzerinden. C2 bağlantı ayarları sert kodlanmış veya uzak bir pastebin URL’sinden çekilir.
Level Blue, “Evsiz olmayan kötü amaçlı yazılım, gizli doğası ve yürütme için meşru sistem araçlarına güvenmesi nedeniyle modern siber güvenlik savunmalarına önemli bir zorluk oluşturmaya devam ediyor.” Dedi. “Yükleri diske yazan geleneksel kötü amaçlı yazılımlardan farklı olarak, belleksiz tehditler bellekte çalışır, bu da onları algılamayı, analiz etmelerini ve ortadan kaldırmasını zorlaştırır.”