Bilgisayar korsanları, temalı saldırı kampanyalarında MSC veya Microsoft Yönetim Konsolu dosyalarını kullanır çünkü bu dosyalar, hedef sistemde farklı yönetim görevlerini gerçekleştirmelerine olanak tanıyan komutlar ve komut dosyaları içerir.
MSC dosyaları, meşru dosyaları taklit ederek çeşitli güvenlik özelliklerinden kaçabilir ve ayrıcalıklarla savunmasız sistemin genel görünümüne ve kontrolüne erişebilir, sonuç olarak verilere yetkisiz erişime ve diğer kötü niyetli eylemlere neden olabilir.
NTT’deki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının hedefli saldırı kampanyalarında MSC dosyalarını silah haline getirdiğini tespit etti.
Bilgisayar korsanları MSC dosyalarını silahlandırıyor
Mayıs 2024’ün sonlarında DarkPeony, Kimsuky tarafından Operation Control Plug aracılığıyla rapor edilen MSC dosyası istismarını devraldı.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Bu saldırılar Myanmar, Filipinler, Moğolistan ve Sırbistan’daki askeri ve hükümet kuruluşlarına yönelik olabilirdi.
Saldırganlar, MSC dosyasının kötüye kullanımının kolayca tespit edilememesi ve belirsiz bir şekilde gerçekleştirilmesi gerçeğinden yararlanarak, bulaşma için dikkate alınması gereken birkaç aşama tasarladılar.
Operation Control Plug, açıldığında kullanıcılardan PowerShell betiğini çalıştıran bir bağlantıya tıklamalarını isteyen bir ekran görüntüleyen kötü amaçlı MSC dosyaları aracılığıyla saldırı zincirini başlatır.
Bu komut dosyası, DLL tarafından yükleme yapabilen meşru bir yürütülebilir dosya içeren bir MSI paketini getirir ve çalıştırır.
Yandan yüklenen DLL, kötü amaçlı bir DAT yükünün kodunu çözer ve yükler, sonuçta PlugX kötü amaçlı yazılımını dağıtır.
Tehdit aktörleri, zararsız görünen MSC (Microsoft Ortak Konsol Belgesi) biçimini, kötü amaçlı PowerShell komutlarını görünüşte zararsız bağlantılar olarak kamufle etmek için “Konsol Görev Paneli” özelliğinden yararlanarak kötüye kullanır ve kullanıcıları enfeksiyon dizisini etkinleştirmeleri için kandırır.
MSI dosyalarını Operation Control Plug ile dağıtan web siteleri, muhtemelen araştırmacıların ve analiz motorlarının MSI dosyalarına erişmesini ve bunları hedeflenen kuruluşlara dağıtmasını engellemek için erişimi kontrol etmek için Cloudflare’i kullanabilir.
Bu makalede, saldırıların başlangıç noktası olarak MSC dosyalarını kullanan ve izinsiz girişleri gerçekleştirmek için bilgisayarlara PlugX bulaştıran DarkPeony’nin Operasyon Kontrol Fişi tanıtılmaktadır.
MSC dosyalarını kullanan saldırı sayısı az olsa da birden fazla hedefli saldırı grubu tarafından kullanılıyor ve gelecekte daha aktif hale gelebilir.
Araştırmacılar, kuruluşunuzun saldırıları tespit edip edemediğini doğrulamanızı öneriyor.
IoC’ler
MSC Dosyası
- 1cbf860e99dcd2594a9de3c616ee86c894d85145bc42e55f4fed3a31ef7c2292
- 54549745868b27f5e533a99b3c10f29bc5504d01bd0792568f2ad1569625b1fd
- f0aa5a27ea01362dce9ced3685961d599e1c9203eef171b76c855a3db41f1ec6
- 8c9e1f17e82369d857e5bf3c41f0609b1e75fd5a4080634bc8ae7291ebe2186c
- e81982e40ee5aaed85817343464d621179a311855ca7bcc514d70f47ed5a2c67
MSI Dosya İndirme Sitesi
- versay bilgisi[.]iletişim
- Hayatyomi[.]iletişim
- profilpimpz[.]iletişim
- lebohdc[.]iletişim
PlugX C2 Sunucusu
- shreyaninfotech[.]iletişim
- satın alma bilgisi[.]kuruluş
- körfez çözümleri[.]iletişim
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo