Bilgisayar korsanları PowerShell komutlarını kullanıyor çünkü bu komutlar Windows sistemlerinde güçlü bir komut dosyası oluşturma ortamı sağlıyor ve RusticWeb Operasyonu adı verilen kötü amaçlı komut dosyalarını ve komutları gizlice yürütmelerine olanak tanıyor.
Bunun yanı sıra, PowerShell’in yetenekleri onu aşağıdakileri kazanmak için çekici bir araç haline getiriyor: –
- Yetkisiz Erişim
- Keşif yapmak
- Çeşitli siber saldırıların gerçekleştirilmesi
SEQRITE Laboratuvarlarındaki siber güvenlik araştırmacıları kısa süre önce, gizli belgeleri sızdırmak için PowerShell komutlarını kullanan tehdit aktörlerini buldukları RusticWeb operasyonunu tespit etti.
PowerShell Kullanan RusticWeb
RusticWeb operasyonu Pakistan bağlantılı APT gruplarıyla örtüşen taktikleri takip ediyor:
Tehdit aktörleri çapraz uyumluluk ve kaçınma taktikleri için derlenmiş dillerden aşağıdaki dillere geçiş yaparken:-
Golang kötü amaçlı yazılım örnekleri arasında Telegram bot C2 ile Windows tabanlı Warp ve Linux tabanlı Ares RAT aşamalandırıcı yükü yer alıyor. RusticWeb Operasyonundaki Rust tabanlı veriler, veri hırsızlığı için kötü amaçlı kısayollar ve sahte bir AWES alanı kullanıyor.
Hedef odaklı kimlik avı, ‘IPR_2023-24’ adlı bir arşiv dosyasıyla kurbanları hedef alır ve PowerShell’in rb’den komut dosyaları indirmesini tetikler[.]gy alanı.
Kampanya Eylül ayında Hindistan’dan %26,53’lük bir etkinlikle başladı. Sahte alan adı ‘dehşet bursu'[.]AWES’i taklit ederek resmi sayfaya yönlendiriyor.
PowerShell betiği, veri indirme ve yükleme işlemleri için yollar ayarlar. Bunun yanı sıra, sahte PDF dosyasının çıkarılması, Rust tarafından derlenen EXE yükünün yürütülmesini tetikler.
Başka bir Rust tabanlı kötü amaçlı yazılım aşağıdakileri yapar: –
- Dosyaları çalar
- Sistem bilgilerini toplar
- OshiUpload aracılığıyla yüklemeler
Aralık ayındaki yeni veriler Kailash Satyarthi Çocuk Vakfı’nı hedef alıyor ve bu da çocuk vakıfları veya dernekleriyle bağlantılı Hindistan hükümet yetkililerine odaklanıldığını gösteriyor.
Aralık ayındaki bir enfeksiyon zincirinde, Rust tabanlı yükler hariç tutularak, numaralandırma ve dışarı çıkarma için PowerShell komut dosyalarıyla birlikte maldoc’lar kullanıldı. İki sahte alan adı ve şifrelenmiş PowerShell komut dosyaları olaya karıştı.
Kimlik avı maldoc’u, karışık şifrelenmiş PowerShell komutları içeren bir VBA makrosu ile bulaşmayı başlatır. Benzer maldoc’lar, belge açıldığında sayıları ‘PoWeRSHEll’e dönüştüren değiştirilmiş PS komutlarını kullanır.
PowerShell komut şifre çözme, küçük değişikliklerle Emotet’e benzer teknikler kullanır. Gizleme, IEX komut tetikleyicisini maskelemek için Invoke-Gizleme tekniklerini kullanır.
Şifresi çözülmüş PowerShell komutları, etki alanlarından sahte dosyaları ve sonraki aşama komut dosyalarını indirir ve bunları İndirilenler ve Belgeler dizinlerinde çalıştırır.
İlk senaryoda indirmeler ‘parichay.epar’dan gerçekleşiyor[.]”in” ve ikinci senaryoda, sahte alan adı “parichay.nic”i taklit ediyor[.]bir Hindistan Hükümeti SSO platformunda.
İlk tuzaklar DSOP Fonu formuna aitti ve Savunma Bakanlığı’nın sunumu ikinci oldu. PowerShell betiği ‘Mail_check.ps1’, kalıcılık için şifrelenmiş ‘syscheck.exe’yi Başlangıç’a bırakıyor.
PDB adı ‘Aplet.pdb’ olan Rust tabanlı yük (14 Aralık zaman damgası). Aşağıda, kısa listeye alınan 13 dosya türünün tamamından bahsettik: –
- .pp
- .pptx
- .xlsx
- .xlsm
- .xls
- .xlam
- .doc
- .docx
- .docm
- .txt
- .nokta
- .ppam
Yeni kimlik avı, Rust yükleri, şifrelenmiş PowerShell ve OshiUpload aracılığıyla sırları çalarak Hindistan hükümetini vurdu.
Sahte alan adları, muhtemelen Pakistan’la bağlantılı APT tehdidiyle bağlantılı olan RusticWeb saldırısındaki devlet kuruluşlarını taklit ediyor. Tehdit aktörleri Golang, Rust ve Nim’i benimserken araştırmacılar kullanıcıları dikkatli olmaya ve gerekli tüm güvenlik önlemlerini almaya çağırdı.