Güney Kore’deki saldırganlar, RAT’lar ve kripto madencileri de dahil olmak üzere, kırık yazılım görünümüne sahip kötü amaçlı yazılımlar dağıtıyor ve kalıcılığı sağlamak için kendilerini Görev Zamanlayıcı’ya kaydettiriyor.
İlk kötü amaçlı yazılım kaldırıldıktan sonra bile Görev Zamanlayıcı, yeni değişkenleri indirmek ve yüklemek için PowerShell komutlarını tetikler; bu durum, PowerShell komutlarının sürekli değişmesi nedeniyle devam eder ve yama yapılmamış sistemleri bilgi hırsızlığına, proxy kötüye kullanımına ve kripto para madenciliğine karşı savunmasız bırakır.
Kötü niyetli aktörler, bulaşma sırasında indirme URL’sini ve hedef platformu alan, potansiyel olarak saldırıları uyarlamalarına ve tespitten kaçmalarına olanak tanıyan, kırık MS Office görünümüne sahip kötü amaçlı yazılımları dağıtmak için dosya paylaşım platformlarından yararlanıyor.
All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo
Siber suçlular, kırık yazılım görünümüne sahip kötü amaçlı yazılımlar dağıtıyor. NET’te geliştirilen kötü amaçlı yazılım, kötü amaçlı kodunu gizlemek için gizlemeyi kullanıyor ve başlangıçta bir indirme URL’si almak için Telegram’a erişiyor.
Daha yeni sürümler, her biri bir Google Drive veya GitHub URL’sine bağlı bir dizeye sahip iki Telegram URL’si ve bir Mastodon URL’si içerir.
Tehdit aktörü, daha fazla gizleme için Base64 kodlamasını kullanarak kötü amaçlı PowerShell komutlarını bu bulut depolama konumlarında gizler ve bu komutlar yürütüldükten sonra ek kötü amaçlı yazılım türleri yükler.
Güncelleyici kötü amaçlı yazılım, “software_reporter_tool.exe”, indirmek ve kalıcılığı korumak için bir PowerShell komut dosyasından yararlanır; bu, “C:\ProgramData\KB5026372.exe” konumunda kötü amaçlı bir yürütülebilir dosya oluşturur ve güvenliği ihlal edilmiş bir 7zip kurulumu (“C:\ProgramData\Google) kullanır \7z.exe”), önceki bir kampanyanın taktiklerini yansıtarak GitHub veya Google Drive’daki (şifre: “x”) şifre korumalı bir arşivin sıkıştırmasını açmak için kullanılır.
Ek olarak güncelleyici, yeniden başlatmanın ardından sürekli çalışmayı sağlamak için kendisini Görev Zamanlayıcı’ya kaydeder ve zamanlanan görev, daha fazla güncelleme ve olası kötü amaçlı yazılım kurulumu için PowerShell komut dosyasını tetikler.
Saldırganlar, ele geçirilen sisteme Orcus RAT ve XMRig’i yerleştirdi.
Orcus RAT, keylogging, web kamerası ve ekran görüntüsü yakalama yoluyla bilgi çalabilir; XMRig ise kripto para birimi madenciliği yapar.
XMRig, kaynak yoğun programlar çalışırken madenciliği durdurmak ve güvenlik yazılımı yükleyicileri gibi kaynaklar için rekabet eden işlemleri sonlandırmak için yapılandırılmıştır; 3Proxy ise virüs bulaşmış makineyi bir güvenlik duvarı kuralı ekleyerek ve kendisini bir güvenlik duvarı kuralına enjekte ederek bir proxy sunucusuna dönüştürmek için kullanılır. meşru süreç.
ASEC’e göre PureCrypter daha fazla veri indirip çalıştırıyor ve AntiAV kötü amaçlı yazılımı, yapılandırma dosyalarını değiştirerek güvenlik ürünlerini bozuyor.
Saldırganlar, popüler Kore yazılımı (Windows, MS Office, Hangul) gibi görünen kötü amaçlı yazılımları dosya paylaşım siteleri aracılığıyla dağıtıyor ve kötü amaçlı yazılım, sık sık yapılan güncellemelerle dosya algılamayı atlıyor ve kalıcılık için Görev Zamanlayıcı’yı kullanarak kaldırıldıktan sonra tekrarlanan enfeksiyonlara yol açıyor.
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.