Bilgisayar Korsanları RedEyes Kötü Amaçlı Yazılımını Dağıtmak İçin Silahlandırılmış LNK Dosyalarını Kullanıyor


AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC), kötü amaçlı LNK dosyalarının dağıtımıyla ilgili önemli bir güvenlik tehdidi hakkında bir uyarı yayınladı.

RedEyes (ScarCruft) olarak bilinen bu tehdit, CHM formatından LNK formatına geçerek siber güvenlik uzmanları için yeni zorluklar yarattı.

hxxp://a*****fo.co.kr/member/ adresinde kötü amaçlı yazılım bulundu

Söz konusu kötü amaçlı yazılım, mshta işlemi aracılığıyla belirli URL’lerde bulunan ek komut dosyalarını çalıştırır.

Bu komut dosyaları daha sonra tehdit aktörlerinin komutası altında çeşitli kötü amaçlı faaliyetler gerçekleştirmek için kullanılır.

İşleri daha da karmaşık hale getirmek için, bu kötü amaçlı LNK dosyaları, sıkıştırılmış dosyalar içinde paketlenerek görünüşte sıradan web siteleri aracılığıyla dağıtılıyor.

Kötü amaçlı LNK dosyası içeren sıkıştırılmış dosya

‘REPORT.ZIP’ gibi adlara sahip LNK dosyaları, normal Excel belge verileri ile gizli kötü amaçlı komut dosyası kodlarının bir karışımını içerir.

Yürütüldüklerinde, görünüşte dikkate değer bir ‘Durum Anketi Tablosu.xlsx’ belgesi oluştururlar ve aynı anda %Temp% klasöründeki gizli ‘PMmVvG56FLC9y.bat’ komut dosyasını PowerShell komutları aracılığıyla çalıştırırlar.

LNK’nin içinde yer alan ek dosya verileri

‘Durum Anketi Tablosu.xlsx’ meşru bir Excel belgesi olarak görünecek, hatta bir Kore kamu kuruluşunun kimliğine bürünecek şekilde özenle tasarlanmıştır.

Bu arada, ‘PMmVvG56FLC9y.bat’, ‘%appdata%\Microsoft\Protect\’ klasöründe ‘UserProfileSafeBackup.bat’ olarak kopyalanır ve kalıcı yürütme için Windows kayıt defterine kaydedilir.

‘Durum Anketi Tablosu.xlsx’ içeriği ve özellikleri

Saldırganın komuta ve kontrol (C2) altyapısı ‘hxxp://75.119.136′ gibi kötü amaçlı URL’ler içerir[.]207/config/bases/config.php?U=[COMPUTERNAME]-[USERNAME]Tehdit aktörlerinden komut alan -SH’ ve ‘hxxp://75.119.136.207/config/bases/config.php?R=[‘EOF’ encoded in base64],’ komut yürütme sonuçlarını iletir.

Ayrıca, ‘hxxp://bian0151.cafe24[.]com/admin/board/1.html’ ek komut dosyası kodlarını indirmek için kullanılır.

hxxp://bian0151.cafe24.com/admin/board/1.html adresinde kötü amaçlı komut dosyası bulundu

Kodu çözülen PowerShell komutları, bilgisayar bilgilerinin toplanması, sürücülerin yönetilmesi, pano içeriğinin izlenmesi, çalışan işlemlerin izlenmesi, dosyaların işlenmesi, komutların yürütülmesi, dosyaların indirilmesi/yüklenmesi, kayıt defterinin düzenlenmesi ve daha fazlası dahil olmak üzere çok çeşitli işlevleri ortaya çıkarır.

Kodu çözülmüş PowerShell komutu

Uzmanlar, tehdit aktörünün sürekli olarak komut dosyası kodunu değiştirdiğine ve bu durumun gelecekteki eylemlerini tahmin etmeyi zorlaştırdığına inanıyor.

Bu durum, siber güvenlik konusunda daha fazla dikkatli olunması ihtiyacını vurgulamaktadır. Dosya boyutlarının 10 MB’ı aşması nedeniyle, kullanıcılara büyük LNK dosyalarını bilinmeyen kaynaklardan çalıştırmaktan kaçınmaları şiddetle tavsiye edilir.

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link