Finansal olarak motive olmuş bir tehdit oyuncusu, TOR ağını algılamadan yararlanan daha önce belgelenmemiş bir .NET arka kapısı olan Info-Duruşan Kötü Yazılım ve Tornet ile Alman ve Polonya konuşan kullanıcıları hedefliyor.
Kimlik avı e -postası
Saldırgan, mali kurumlar ve imalat ve lojistik şirketleri tarafından gönderilen e -posta yoluyla sahte para transferi onayları ve sipariş makbuzları gönderir.
Kampanyada kullanılan bir kimlik avı e -postası (Kaynak: Cisco Talos)
E-postalar kötü niyetli bir ek taşır: bir TGZ dosyası (GZIP ile sıkıştırılmış arşiv dosyası).
“Kimlik avı e -postaları ağırlıklı olarak Polonya ve Almanca olarak yazılmıştır, bu da aktörün öncelikle bu ülkelerdeki kullanıcıları hedefleme niyetini gösterir. Ayrıca İngilizce yazılmış aynı kampanyadan bazı kimlik avı e -posta örnekleri bulduk ”diye paylaştı Cisco Talos araştırmacıları.
Görünüşe göre, kampanya Temmuz 2024’ten beri aktif.
Düşmüş kötü amaçlı yazılım
Eki indiren ve ZIP IT IT It It, popüler bir kötü amaçlı yazılım yükleyicisi olan PurecryPter’i indirip çalıştıran bir .NET yürütülebilir dosyasını tetikler.
Pürefter Bir veya daha fazla ek kötü amaçlı yazılım indirmek için kullanılır:
- Ajan Tesla – Uzaktan Erişim Trojan (Sıçan) ve Veri Stealer
- Snake Keylogger – Bir Kimlik Bilgisi Stealer ve Keylogger
- Kule – Daha önce belgelenmemiş bir arka kapı
Araştırmacıların bulduğu Purecrypter, bulut tabanlı anti-yazılım önleyici programların indirdiği ek kötü amaçlı yazılımları algılamasını önlemek için akıllı bir teknik kullanıyor: Hedef makineye şu anda atanan DHCP IP adresini “düşürmesini” ve ardından IP’yi yenilemesini sipariş ediyor. Kötü amaçlı yazılım hazır ve çalışır durumda olduğunda ekleme.
PureCrypter ayrıca çalışmadan önce anti-debugger, anti-anti-anti-VM ve kötü amaçlı yazılım kontrolleri gerçekleştirir ve birkaç kalıcılık yöntemi kullanır.
Yetenekler açısından Ajan Tesla ve Snake Keylogger bilinen miktarlardır. Öte yandan Tornet Backdoor, kurban makinesini TOR ağına bağlayabilen ve C2 sunucusuna anonimleştirilmiş bir bağlantı kurabilen bulunmuştur.
“[TorNet also] Araştırmacılar, kurban makinesinin belleğinde C2 sunucusundan indirilen, daha fazla müdahale için saldırı yüzeyini artıran keyfi .NET montajlarını alma ve çalıştırma yeteneklerine sahiptir ”dedi.
Cisco Talos, bu kampanyayla ilgili uzlaşma göstergelerini paylaştı.