Tehdit aktörleri, ilk enfeksiyon için silahlı PDF dosyalarını kullanıyor. Bunun nedeni, bunların kötü amaçlı kodlarla gömülebilmesi, PDF okuyucuların güvenlik açıklarından yararlanılması ve kullanıcıların yükü etkinleştirmeleri için kandırılmalarıdır.
Yaygın olarak kullanılan güvenilir dosya türleri oldukları için PDF’ler, enfeksiyon zincirini başlatan kötü amaçlı yazılımları yaymak için de etkili bir araç haline geldi.
Zscaler’s ThreatLabz’daki siber güvenlik araştırmacıları, bilgisayar korsanlarının enfeksiyon zincirini başlatmak için silahlı PDF dosyalarını aktif olarak kullandığını keşfetti.
Silahlandırılmış PDF Dosyaları
Uzmanlar bu raporda ‘WINELOADER’ adı verilen yeni bir arka kapının ayrıntılarını açıkladı. Muhtemelen Hindistan-Avrupa diplomatik bağlarını hedef alan bir ulus devlet aktörü olduğu ortaya çıktı.
Tehdit aktörleri bu düşük hacimli saldırıyı gelişmiş taktiklerle gerçekleştirdi. İsimleri belirtilmese de analistler, saldırı zincirindeki şarap temalı unsurlardan dolayı bunlara SPIKEDWINE adını verdiler.
.webp)
PDF, 2 Şubat 2024’te Hindistan büyükelçisinin evinde düzenlenecek bir şarap etkinliğine resmi dili taklit eden sahte bir davettir.
Sahte bir ankete bağlantı vererek enfeksiyon sürecini başlatır ve güvenliği ihlal edilmiş aşağıdaki siteye yönlendirir: –
- hxxps://seeceafcleaners[.]ortak[.]İngiltere/wine.php
PDF’nin meta verileri, bunun 29 Ocak 2024, 10:38 UTC’de LibreOffice 6.4 kullanılarak yapıldığını gösteriyor.
.webp)
HTA dosyası, obfuscator.io’ya benzer şekilde, gizlemeyi kullanarak bir sonraki kötü amaçlı aşama için gizlenmiş JavaScript’i çalıştırır.
Bunun yanı sıra, orijinal PDF dosyasındaki sahte şarap tadımı ayrıntılarını yansıtan sahte içerikle gizleniyor.
Aşağıda HTA dosyasının temel işlevlerinden bahsettik: –
- Base64 kodlu metin dosyasını URL’den indirin: Seeceafcleaners[.]ortak[.]İngiltere/cert.php
- Kaydet: C:\Windows\Tasks\text.txt
- Metin dosyasının kodunu çözmek için certutil.exe’yi kullanın:
- Komut: certutil -decode C:\Windows\Tasks\text.txt C:\Windows\Tasks\text.zip
- ZIP arşiv içeriğini çıkarın:
- Komut: tar -xf C:\Windows\Görevler\text.zip -CC:\Windows\Görevler\
- Sqlwriter.exe’yi çalıştırın:
- Yol: C:\Windows\Görevler\
SQLwriter.exe’nin çalıştırılması, DLL tarafından yükleme aracılığıyla, sabit kodlanmış 256 baytlık bir RC4 anahtarı kullanarak WINELOADER’ın şifresini çözen hileli bir vcruntime140.dll dosyasını yükler.
WINELOADER, belirli dizelerin şifresini dinamik olarak çözmek ve yeniden şifrelemek için çekirdek modüller, dizeler ve C2 verileri için şifreleme kullanır.
DLL boşaltma, çeşitli DLL seçimi için SECFORCE’un ek rastgeleleştirme yöntemini kullanarak WINELOADER’ı rastgele seçilen bir Windows DLL dosyasına enjekte eder.
WINELOADER aşağıdaki DLL’lere enjekte edilmez: –
- advapi32.dll
- api-ms-win-crt-math-l1-1-0.dll
- api-ms-win-crt-stdio-l1-1-0.dll
- bcryptprimitives.dll
- iphlpapi.dll
- kernel32.dll
- çekirdekbase.dll
- mscoree.dll
- ntdll.dll
- ole32.dll
- rpcrt4.dll
- shlwapi.dll
- user32.dll
- wininet.dll
WINELOADER, C2 sunucusuna ilk işaret vermeden önce DLL boşaltma yoluyla başka bir DLL’ye yeniden enjekte eder. Benzersiz bir HTTP GET isteği olan işaret, sabit bir Kullanıcı Aracısı kullanır.
Gövde, 256 baytlık bir RC4 anahtarıyla şifrelenmiştir ve temel komutlar, modül yürütmeyi, DLL enjeksiyonunu ve işaret aralığı güncellemesini içerir.
Kalıcılık modülü, tamamlandığında C2’ye bildirimde bulunan görevleri ve kayıt defteri anahtarlarını yükler. Saldırı boyunca ele geçirilen altyapı kullanıldı.
Bu arada C2 sunucusu otomatik analizi engelleyerek seçici olarak yanıt verir.
Ancak taktiklerin tamamı, Hint-Avrupa ilişkilerinden yararlanmaya, hafıza adli tıptan ve URL taramadan kaçınmaya ilgi olduğunu gösteriyor.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.