Rus bir APT olan Fighting Ursa, Mart 2024’ten bu yana diplomatları hedef alan HeadLace arka kapı zararlı yazılımını dağıtmak için bir araba satış kimlik avı yemi kullanıyor. Bu strateji, grubun ve diğer Rus tehdit aktörlerinin önceki kampanyalarını yansıtıyor.
Saldırıda kamuya açık, ücretsiz altyapı hizmetleri kullanıldı ve araç reklamındaki kötü amaçlı içeriğe yapılan kullanıcı tıklamaları istismar edildi.
Bilgisayar korsanları, geliştirme projelerinde kullanılan özel URL’ler oluşturmak için meşru bir hizmet olan Webhook.site’ı istismar etti. 14 Mart 2024’te, kötü amaçlı bir enfeksiyon zincirine bağlı bir URL VirusTotal’a gönderildi.
Bu Webhook.site URL’si kötü amaçlı içerik barındırmadı. Bunun yerine, erişildiğinde kötü amaçlı bir HTML sayfası sundu ve bu da ziyaretçi bilgilerine dayalı özel eylemleri tetiklemek için benzersiz URL’ler üretme işlevini kötüye kullandı.
HTML kodu, başlangıçta ziyaretçileri işletim sistemine göre filtreleyerek çok aşamalı bir saldırı uyguluyor ve Windows kullanıcısı olmayanları ImgBB’de barındırılan sahte bir araba reklamına yönlendiriyor.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Windows kullanıcıları için, Base64 kodlu ZIP arşiv verilerini gömüyor, indirmeye sunuyor ve JavaScript kullanarak otomatik olarak açmaya çalışıyor; bu da meşru bir araba reklamı kisvesi altında Windows sistemlerine kötü amaçlı bir yük iletmek için tasarlanmış hedefli bir saldırıyı akla getiriyor.
.webp)
İndirilen IMG-387470302099.zip adlı ZIP arşivi, JPG resmi gibi gizlenmiş kötü amaçlı bir yürütülebilir dosya içeriyor.
IMG-387470302099.jpg.exe dosyası .jpg.exe uzantılı çift uzantıya sahip, ancak varsayılan Windows yapılandırması nedeniyle yalnızca .jpg uzantısı görüntüleniyor. Bu, kullanıcıları bunun zararsız bir resim dosyası olduğunu düşünmeye ve kötü amaçlı yazılımı çalıştırmaya kandırmak için kullanılan bir sosyal mühendislik taktiği.
Unit 42’ye göre, Windows hesap makinesi kılığına girmiş kötü amaçlı bir yürütülebilir dosya, modüler HeadLace arka kapısının bir bileşeni olan WindowsCodecs.dll dosyasını yan yüklüyor.
Aşamalı enfeksiyon süreci, muhtemelen tespitten kaçınmak ve analizi geciktirmek amacıyla kötü amaçlı kodu tanıtmak için meşru bir uygulamadan yararlanır.
DLL’nin işlevi, gösterildiği gibi, arka kapının sonraki eylemlerini ve genel işleyişini anlamak için çok önemlidir.
.webp)
ZIP arşivi, Microsoft Edge’i (msedge) kullanarak Webhook.site URL’sinden içerik alan Base64 kodlu bir iframe yürüten zqtxmo.bat adlı kötü amaçlı bir toplu iş dosyası içeriyor. İndirilen içerik, kullanıcının indirmeler dizinine bir JPEG dosyası (IMG387470302099.jpg) olarak kaydedilir.
Toplu iş dosyası daha sonra indirilen dosyayı %programdata% dizinine taşır ve uzantıyı .cmd (IMG387470302099.cmd) olarak değiştirir. Son olarak, betik .cmd dosyasını yürütür ve kanıtı silmek için kendini siler.
HeadLace kötü amaçlı yazılımını dağıtmak için dinamik altyapı ve çeşitli yem setlerinden yararlanan kalıcı bir tehdit aktörü olan Fighting Ursa, kötü amaçlı amaçlar için meşru web servislerini kullanmaya devam ediyor.
Kuruluşlar, Fighting Ursa ile ilişkili potansiyel saldırı vektörlerini proaktif olarak belirlemek ve azaltmak için bu tür platformlara erişimi kısıtlamalı ve kullanımlarını titizlikle incelemelidir.
Kötü amaçlı bir kampanya, sahte bir satılık araba görseli ve meşru bir calc.exe, kötü amaçlı bir DLL ve bir toplu iş dosyası içeren bir ZIP arşivi barındıran bir webhook sitesinden yararlanıyor.
Calc.exe dosyası çıkarıldıktan sonra, kötü amaçlı DLL’yi yan yüklemek için kötüye kullanılır ve bu da daha sonra toplu iş dosyasını çalıştırır; bu da olası bir kötü amaçlı yazılım bulaşması veya veri hırsızlığı işleminin göstergesidir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access