Bilgisayar Korsanları Birden Fazla Kötü Amaçlı Yazılım Sunmak İçin Para Kazandıran Komut Dosyaları Kullanıyor


Bilgisayar Korsanları Birden Fazla Kötü Amaçlı Yazılım Sunmak İçin Para Kazandıran Komut Dosyaları Kullanıyor

FBI, Nisan ayında hükümete ve kar amacı gütmeyen kuruluşlara yönelik, kurban cihazlarına birden fazla kötü amaçlı yazılım türünün yerleştirilmesini içeren saldırılar konusunda uyardı.

Bunun yanı sıra saldırganlar aşağıdaki şeyleri başarmayı hedefliyor: –

  • Maden kaynakları
  • Veri çalmak
  • Sistemlere arka kapı erişimi sağlayın

Securelist’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının birden fazla kötü amaçlı yazılım dağıtmak için aktif olarak kullandığı çok sayıda kötü amaçlı para kazanma komut dosyasını tespit etti.

2022’nin sonlarından bu yana, bu kampanya kapsamında güvenlik analistleri aşağıdakileri tespit etti:-

  • Çok sayıda komut dosyası
  • Yürütülebilir dosyalar
  • İlgili bağlantılar



Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


Teknik Analiz

Güvenlik ihlali göstergelerine ilişkin Nisan raporunun ardından uzmanlar, Ağustos telemetrilerinde yeni kötü amaçlı komut dosyalarını ortaya çıkardı.

Aşağıdaki komut dosyaları, Windows Defender’ı kurcalamak için sunuculardaki ve iş istasyonlarındaki güvenlik açıklarından yararlanıyor gibi görünüyor: –

start.cmd betiği, kayıt defteri aracılığıyla korumayı devre dışı bırakmayı hedeflerken runxm1.cmd betiği, dosyaları istisnalara ekler, yönetici haklarını alır ve güvenlik çözümü klasörlerini yeniden adlandırır.

Aşağıda, komut dosyalarının bu alan adından indirmeye çalıştığı tüm yürütülebilir dosyalardan ve yapılandırma dosyalarından bahsettik: –

  • intelsvc.exe (A7CDE18F991E97037A7899B7669E2548)
  • View.exe (830debd1f6d39c726c2d3208e3314f44)
  • rtkaudio.exe/rtkaudio.txt (a6d4706baeb9ab97490d745f7a2bb11e)
  • config.txt (99634dcaca690066187e30c36182bf19)
Dosyalar indiriliyor
Dosyaları indirme (Kaynak – Güvenli liste)

start.cmd, Monero madenciliği için config.txt’yi kullanarak RtkAudio.exe’yi başlatır. İndirilen ek dosyalar arasında C:\Users\Public dizinine çeşitli dosyaları kaydetmek için yürütülen View.exe bulunur.

View.exe tarafından kaydedilen dosyalar
View.exe tarafından kaydedilen dosyalar (Kaynak – Güvenli Liste)

Dosyaların analizi, Systemfont.exe’deki keylogger işlevselliğini ortaya çıkarırken IntelSvc.exe, talimatlar için bir C2 sunucusuna bağlanan tipik bir arka kapı görevi görüyor.

Saldırı Coğrafyası

Araştırmacılar, Mayıs 2023’ten bu yana dünya çapında 200’den fazla kullanıcıyı hedef alan 10.000’den fazla saldırının, öncelikle aşağıdakiler gibi B2B sektörlerini etkilediğini kaydetti:

  • Devlet kurumları
  • Tarım
  • Perakende

Ancak bunun yanı sıra tüm bu tehditlerle öncelikle aşağıdaki ülkelerde karşılaşıldı: –

  • Rusya Federasyonu
  • Suudi Arabistan
  • Vietnam
  • Brezilya
  • Romanya

Tehdit aktörleri, başlangıçtaki kripto madenci enfeksiyonlarını, arka kapılar ve tuş kaydediciler gibi daha zararlı saldırılar için bir ağ geçidi olarak kullanarak B2B sektörünü giderek daha fazla hedef alıyor.

Gelişen bu tehditlere karşı korunmak için işletmelerin güvenlik önlemlerini sürekli olarak geliştirmesi gerekiyor.

Uzlaşma Göstergeleri

MD5

0BEFB96279DA248F6D49169E047EE7AB
769BC25454799805E83612F0F896E03F
B747AEDF0F3E4457C6D02BC5AF7C0980
0A50081A6CD37AEA0945C91DE91C5D97
1DA8E7C92C86FC8DBAB5287BDCA91CA1
3C47D45F09948B8E6FDB5F96523BC60B
5D3E2B2EE668B2BC071B8D4027C6B8F1
227FA5D690A943114FF3CCFE7977192A
A531FE822618B6A917D50BEE001C95A1
DDAB66730A84583B98D3415F9181D092
830debd1f6d39c726c2d3208e3314f44
3b2a270b90b3e24a25cc991df40da3ca
DDD12566B99343B96609AFA2524ECEC3
a6d4706baeb9ab97490d745f7a2bb11e
A7CDE18F991E97037A7899B7669E2548
AC27DE51896A5BA2FD0DDA9B7955A201
2ac1d8e16e47e97db3c60d728270ad5a
5919e4e3e06b617d967dc6e8fecb701b
8dcd1e4e37838b49214f10c50ef5a5f0
51ad216fcb4afe42b9ef01ab472a2914
df6f39d30dc5e9f4155514cdefb54620
b2e250b9e3b9d5e6b2080cb782f9698e
af9327d353b97fd50a777145bc0e8e1e
22f9682e543b94532d46541c63512f2d
1225f4f50154dd49d4853e4efc3ddf77
7d0f67343f128d29a50ccd3639b72884
752940da17469330c38ab98d04f3d6b8
11ca68ea3500cb03db1f4008d18cb6b2
b558fa064d0d3f94f5e4c975375cbad1
4cdbcfa0d6fd2e7de6ec0030cfb2322d
7e09279dcd3655ab1b2e2684746e4bc2
a38dece5bcb9f6d1c027d86e0318a60e
474f517eb23bdfa4c320c091c3eb2dba
f0881b3c3d1535685d6190df4083f515
61d5944634d735c3e6efc3b1349de740
99634dcaca690066187e30c36182bf19

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link