Meşru uzaktan izleme ve yönetim yazılımını silahlandıran yeni bir kampanyanın ortaya çıkması, dünya çapında güvenlik ekiplerini endişelendirdi.
Saldırganlar, çift yükler sunmak için ConnectWise ScreAnconnect-Now ConnectWise Control olarak bilinmeyen-truva atışçılarını dağıtıyor: yaygın olarak kullanılan asyncrat ve özel bir güç tabanlı sıçan.
Güvenilir yazılım ayak izleri ve açık dizinlerden yararlanarak, rakipler imza tabanlı savunmaları atlar ve tehlikeye atılan ağlara uzun vadeli erişimi sürdürür.
Analistlerin maruz kalan dosya sunucularında barındırılan anormal screencect yükleyicileri gözlemlediğinde Mayıs 2025’te ilk olaylar ortaya çıktı.
Bu yükleyiciler, yürütme üzerine, yükleri doğrudan gömmek yerine çalışma zamanında kötü amaçlı bileşenler getiren Clickonce yükleyicileri içeriyordu.
Bir örnekte, tehlikeye atılan bir yükleyici, bir yükleyici komut dosyası çalıştırmak için PowerShell’i yürütme politika bypass ile tetikleyen silahlandırılmış bir kısayolu yürüten bir VBS komut dosyası sessizce başlattı.
Hunt.io Siber Ekibi Araştırmacıları, açık dizinler üzerindeki çok sayıda açıkta olan ev sahiplerinden telemetriyi ilişkilendirdikten ve IOC’leri ilişkilendirdikten sonra bu taktiği belirlediler.
.webp)
Sonraki analiz tekrarlanabilir bir altyapı paterni ortaya çıktı. Logs.ldk, logs.idk ve logs.IDR adlı .ZIP arşivlerini barındıran enfekte olan yükleyiciler, damlalık komut dosyalarına (ab.vbs veya ab.ps1), PowerShell yükleyicisine (Skype.ps1), doğal bir enjektör DLL (libpk.dll) ve bir kısayol dosyasına (microSoft.lnk) (Microsoft.L.)
VBS başlatıcısı, kısayolu çağırmak için wscript.screll kullanır, bu da Skype.ps1’i başlatmak için Gizli Windows ile PowerShell’i çalıştırır.
Bu komut dosyası, gömülü bir yük damlasını yeniden yapılandırır, DLL’nin dışa aktarılanını çağırır Execute Bellek içi yerel evrelemenin işlevi ve kalıcılık için SystemInstallTask adında planlanmış bir görev oluşturur.
Enfeksiyon mekanizması
Enfeksiyon zinciri, görünüşte iyi huylu bir screenconnect istemci yükleyicisi ile başlar.
Yürütüldükten sonra, VBS Loader’ı (AB.VBS) genel bir klasöre bırakır ve bir Windows kısayolunu kaydeder. Kısayolun hedefi, PowerShell’i başlatmak için hazırlanmıştır. -ExecutionPolicy Bypass -WindowStyle Hiddenskype.ps1 adlı küçük bir komut dosyası dosyası çağırın.
Skype.ps1, algılanan güvenlik ürünlerine bağlı olarak bir .NET montajına veya doğal kabuk koduna kodladığı Base64 kodlu yük segmentleri içerir.
Komut dosyası totalav veya avast gibi antivirüsü algılarsa, System.Reflection.Assembly.Load; Aksi takdirde dinamik olarak içe aktarır libPK.dll PowerShell’s’i Kullanma Add-Type ve çağrılar Execute Meşru ana bilgisayar süreçlerine yükleri enjekte etmek için.
Dayanıklılığı korumak için, yükleyici ayrıca tekrarlanan görevleri (her 2-10 dakikada bir) planlar ve sonlandırılırsa hızlı yeniden uygulama sağlar.
Ek olarak, ilk evreleme için açık dizinlerin kullanılması, saldırganların dosyaları ve etki alanlarını sık sık döndürerek tespiti karmaşıklaştırmasına izin verir.
Modüler komut dosyaları, planlanan görevler ve çift yürütme yollarının birleşimi, meşru RMM yazılım istismarını ısmarlama sıçan yükleriyle harmanlayan sofistike çok aşamalı bir teslimat çerçevesini örneklendirir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.