Bilgisayar korsanları, hedeflenen kullanıcının farkında olmadan kötü amaçlı kod yürütme yetenekleri nedeniyle silah haline getirilmiş kısayol dosyalarından yararlanır.
Kısayol dosyaları genellikle iyi bilinir ve yaygın olarak kullanılır ve bu nedenle kötü amaçlı yazılımların dağıtımı için iyi bir platform sağlarlar.
Bu zararsız kısayolların kullanılması, bilgisayar korsanlarının güvenlik kontrollerini atlamanın ve kurbanları sistemlerini savunmasız hale getirmeye zorlamanın en iyi yollarından biridir.
ASEC’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının CHM kötü amaçlı yazılımını dağıtmak için silahlı kısayol dosyalarını aktif olarak kötüye kullandığını keşfetti.
Teknik Analiz
AhnLab, şu anda kullanıcı verilerini çalan ve Koreli hedeflere dağıtılan bir Kore CHM kötü amaçlı yazılımını tespit etti. Bu, kötü amaçlı yazılımların aynı aktör tarafından LNK, DOC ve OneNote gibi farklı formatlarda sunulması eğilimini takip ediyor.
Ücretsiz Web Semineri: Canlı API Saldırı Simülasyonu
Kuruluşların %94’ü üretim API’lerinde güvenlik sorunları yaşıyor ve beşte biri veri ihlali yaşıyor. Sonuç olarak, API’lere yönelik siber saldırıların oranı 2022’de %35’ten 2023’te %46’ya yükseldi ve bu eğilim artmaya devam ediyor:
Temel Çıkarımlar:
- OWASP API Top 10 güvenlik açığından yararlanma
- API’ye kaba kuvvet ATO (Hesap Devralma) saldırısı
- API’ye yönelik bir DDoS saldırısı
- API saldırılarını önlemek için pozitif güvenlik modeli otomasyonu
API’lerinizi bilgisayar korsanlarından korumaya başlayın
Yerinizi Ayırın
Yürütme akışının tamamı, daha önce olduğu gibi kullanıcı bilgilerini ve keylogger verilerini çalmak için birden fazla komut dosyasına dayanmasına rağmen, bazı yeni örnekler, bunların çalışma biçiminde küçük farklılıklar göstermektedir.
Bu grubun daha önceki faaliyetlerinde, bu tür kötü niyetli nesnelerin HWP belgeleri şeklini aldığı, hatta tazminat formları, Kuzey Kore ile ilgili anketler veya farklı konulardaki basın bültenleri gibi göründüğü durumlar vardı.
CHM dosyası çalıştırıldığında, “%USERPROFILE%\Links” içinde Link.ini oluşturup başlatan kötü amaçlı bir komut dosyası aynı anda çalıştırılırken bir yardım dosyası görüntülenir.
Link.ini, Base64 kodlu bir komut dosyası içeren bir URL’ye (“list.php?query=1” yerine “bootservice.php?query=1” olarak değiştirildi) bağlanır.
Daha önce analiz edilen kodu çözülmüş bu komut dosyası, kullanıcı verilerini sızdırır, kötü amaçlı bir komut dosyası oluşturur ve “%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\OfficeUpdater_” altında bir hizmet olarak kaydedilir.[time].ini”. Her 60 dakikada bir otomatik olarak çalışacak şekilde planlanmıştır.
Aşağıda sızdırılan tüm bilgi türlerinden bahsettik: –
- Sistem bilgisi
- Klasördeki Dosyaların Listesi
- Halihazırda Çalışan Süreçlere İlişkin Bilgiler
- Kötü Amaçlı Yazılımdan Koruma Bilgileri (Yalnızca Kod, Yürütülmedi)
Periyodik olarak çalışan hizmetin bağlandığı bir URL, Base64 kodlu kötü amaçlı bir komut dosyasını çalıştırıyor; “list.php?query=6”, “bootservice.php?query=6” olarak değiştirildi.
Bu, “InfoKey” ile başka bir URL’ye bağlanmak için PowerShell’i kullanan ve verileri parametre olarak kodlayan kodlanmış bir komut dosyasını ortaya çıkarır.
URL’de barındırılan bir PowerShell betiği kodu çözer ve ardından gizlenmiş bir güvenli dize yükünü yürütür.
Saldırgan, artık kolayca bulunabilen dedektörlerin altına saklanmak mümkün olduğundan, dekompresyon veya base64 gibi daha basit gizleme tekniklerinin bilinen çoğu örneğinden daha gelişmiş olan karmaşık gizleme yöntemlerini kullanmaya başlamıştır.
Kodu çözülen son veri, keylogging işlemini gerçekleştirir; burada yakalanan tuş vuruşlarını ve pano verilerini, saldırganın sunucusuna göndermeden ve dosyayı silmeden önce ‘%APPDATA%\Microsoft\Windows\Templates\Office_Config.xml’ dosyasına kaydeder.
Bu saldırının genel olarak gerçekleştirilmesi yeni olmasa da, son örnekler çok daha karmaşık gizleme yöntemleri üretti; bu da muhtemelen önceki kampanyalardan sorumlu tek bir grup tarafından geliştirilmiş bir saldırı biçimi anlamına geliyor.
Bu kötü amaçlı yazılım yalnızca Koreli kullanıcıları etkilediğinden, güvenilmeyen veya şüpheli kaynaklardan gelen dosyaları açmamaya çok dikkat etmeleri gerekir.
IOC
- b2c74dbf20824477c3e139b48833041b
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide