Bir Azerbaycan şirketinin başkanından gelen bir not gibi görünen hedef odaklı kimlik avı e-postası, firmayla ilişkili işletmelere sızmak için kötü amaçlı yazılımları resimlerin arkasına sakladı.
Fortinet’in araştırmasına göre, e-postalar cAzerbaycan ile Ermenistan arasındaki çatışmayı yatıştırdı ve kontrol altına aldı bir zip dosyası. O dosyadaki fotoğraflar hem gerçek hem de kötü amaçlı içerik barındırıyordu.
Fortinet’e göre kurbanlar, Azerbaycanlı şirketle bağlantılı işletmelerin yönetim ekipleriydi. Sahte firmanın adını vermeyi reddeden Fortinet kıdemli güvenlik mühendisi Fred Gutierrez, kampanyadan etkilenen diğer işletmelerin şirketin yan kuruluşlarının yanı sıra iş ortaklarını da içerdiğini söyledi.
E-posta, Azerbaycan ve Ermenistan askerleri arasındaki sınır çatışmasıyla ilgili bilgi içerdiğini iddia ediyor ve HTML kaçakçılığı yoluyla gizlenmiş bir bağlantı içeriyordu; bu bağlantıda dört resim görüntüleniyor; bunlardan biri aslında kötü amaçlı yazılımı indiren bir LNK dosyası.
“E-postayı açmak enfeksiyon zincirini başlatmak için yeterli” Gutierrez diyor. “Görüntüleri içeren bir zip dosyasını otomatik olarak kullanıcının bilgisayarına indirecektir. HTML kaçakçılığı, kullanıcının gerçekten tamamen virüs bulaşması için bir eylem gerçekleştirmesini gerektirir. Bu durumda kullanıcının zip dosyasını açmak için şifreyi manuel olarak girmesi ve ardından ilgili dosyayı içeride başlatması gerekir.”
Şifrenin e-posta metninde yer aldığını ekliyor.
HTML kaçakçılığı, e-posta açıldığında JavaScript kurbanın bilgisayarına otomatik olarak bir zip dosyası indirdiğinde meydana gelir; bu noktada kullanıcıya zip dosyasının indirildiği bildirilir. İndirmeyi reddetme veya kabul etme seçeneği yoktur.
Kullanıcı indirilen zip dosyasını açıp sahte görseli açan şifreyi girdikten sonra yükleyici indirilir.
Kötü Amaçlı Yazılımın Benzersizliği Nedir?
Bu kötü amaçlı yazılım, giderek daha popüler hale gelen Rust dilinde programlanmıştır.
Kötü amaçlı yazılım, bilgileri normal çalışma saatleri dışında çalmak için zamanlanmış bir görev ayarlayan “24rp.xml” adlı geçici bir dosya oluşturur. Araştırmacılar, kötü amaçlı yazılımın görevlerini yerine getirirken rastgele süreler boyunca uyuyabildiğini iddia ediyor. Bu teknik, amaçlanan hedeflerin bilgisayarlarını gece boyunca açık bıraktığını ve böylece kötü amaçlı yazılımın, fark edilme olasılığının daha düşük olduğu normal çalışma saatleri dışında çalışabileceğini varsayar.
Ne Çalıyor?
Kötü amaçlı yazılım, temel bilgisayar bilgilerini topluyor ve bunu bir komuta ve kontrol (C2) sunucusuna gönderiyor. Gutierrez, kötü amaçlı yazılımın yalnızca kurbanların ayrıcalıkları ve izinleri, sistem yapılandırması, çalışan uygulamalar, ağ yapılandırması ve kullanıcı hesaplarının listesi dahil olmak üzere temel bilgileri aradığını söyledi.
“Bilginin niteliği, bunun ya kırmızı bir ekip çalışması olduğunu ya da daha büyük olasılıkla hedefli bir saldırının keşif aşamasındaki bir sonraki adım olduğunu gösteriyor” diyor.
Bu tür saldırılara karşı savunma yapmak için Fortinet, ister e-posta isterse bir web sayfası (watering delik saldırısı gibi) şeklinde olsun, kimlik avı işaretlerini öğrenmenizi öneriyor. Gutierrez ayrıca kullanıcıların bilinmeyen dosyaları açmaktan kaçınmalarını, kötü amaçlı yazılımdan koruma programlarını ve hizmetlerini kullanmalarını ve garip dosyaları BT veya ağ güvenliği departmanlarına bildirmelerini tavsiye ediyor.
Gizlenmiş bağlantı için azaltma o kadar kolay değildir. Buna göre MITRE’nin tavsiye sayfasında yer alan bu tür saldırı tekniğinin, sistem özelliklerinin kötüye kullanılmasına dayanması nedeniyle önleyici kontrollerle kolayca hafifletilmesi mümkün değildir.