Tehdit aktörleri, sıkıştırılmış arşivlerdeki kötü amaçlı yükleri kolayca taşıyabildiklerinden, ZIP dosyalarını silah haline getirmek için kullanıyor; bu da güvenlik sistemlerinin dosya içeriğini tespit etmesini ve incelemesini zorlaştırıyor.
Bu dosyalar, saldırganların güvenlik açıklarından yararlanabilmesi veya bu dosyalar çıkarılır çıkarılmaz bir dizi başka kötü amaçlı işlem gerçekleştirebilmesi için hedef kullanıcılara birden fazla dosya teslim etmek için kullanılabilir.
Son zamanlarda ANY.RUN’daki siber güvenlik analistleri, bilgisayar korsanlarının NTLM karmalarını çalmak için silah haline getirilmiş ZIP dosyasını aktif olarak kullandığını keşfetti.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Silahlandırılmış ZIP Dosyası NTLM Hash’lerini Çaldı
Siber güvenlik araştırmacıları, kullanıcılara yönelik toplu bir saldırı gözlemledikleri 23 Şubat 2024 ile şimdiki an arasında yeni bir tehdide karşı uyarıda bulundu.
Burada senaryonun tamamı, ZIP eki içeren bir e-postanın alınması ve İngilizce ve Almanca olarak “Geçen gün tarafınıza materyal gönderdim, onu alabildiniz mi?” diyen bir sorgulamayla başlıyor. Bu sıkıştırılmış dosyalar arasında iki farklı belge bulunuyor ve bunlardan birinin silaha dönüştürülmüş bir HTML sayfası olduğu ortaya çıkıyor”.
Buradaki püf noktası, bu HTML sayfasının 450 baytlık bir şablon üzerinde oldukça karmaşık bir şekilde hazırlanmış olmasıdır. Daha spesifik olarak, yeniden yönlendirme, şifrelenmiş HTTP trafiğini birkaç düğüm üzerinden aktarır.
Bu, güvenliği ihlal edilmiş sistemlerden istekler aldığı için Google App Script’in (GAS) yardımıyla yapılır ve bu öğe, uygulanması için SMB protokolünü kullanır.
Ancak bu saldırganlar sunucularına impacket-smbserver aracını uygulamışlardır. Siber faaliyetlerinde iyi planlanmış bir stratejiye işaret eden karmaşıklık ve karmaşıklık katıyor.
HTML içeriği açıldığında saldırganlar tarafından aşağıdaki kullanıcı verileri elde edilir: –
- IP adresi
- NTLM sorgulama verileri
- Kullanıcı adı
- Kurbanın bilgisayar adı
GÖNYE
- Kimlik avı (T1566)
- Kullanıcı ve PC adı numaralandırması (T1589)
- NTLM uzlaşması (T1187)
Sorguları
Aşağıda uzmanların önerdiği tüm soruları belirttik: –
- SuricataID:”8001377″
- SuricataID:”8001065″
- SuricataID:”8000547″
Bunun yanı sıra araştırmacılar, kullanıcıların platformdaki e-posta eklerini incelemesine olanak sağlaması umuduyla bu saldırının ilerleyişini de takip edecek.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan