![Bilgisayar Korsanları Microsoft Connection 03Manager Profilinden Yararlanmak İçin Silahlandırılmış LNK Dosyalarını Kullanıyor Bilgisayar Korsanları Microsoft Connection 03Manager Profilinden Yararlanmak İçin Silahlandırılmış LNK Dosyalarını Kullanıyor](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTvLFwYez_TXjIMQ8PnNALZHDZbltlYFJQ0Se16kYGjZgnRqCgRQBcCVqZPDx3-ZINCCQm7bG6O1sQ2_FzDWYTe5urXVEwWRZs8WA68rbuEw27Xz1-IfJnrJZLE16QE8SE0e_DGMCxbfbUFevMiU4WCbCID7GNm1i2zZYF2cGCACFtOykfzcoNPhqjuL_Z/s1600/SEIKO%20Data%20Breach(20)-1.webp)
Tehdit aktörleri, ilk erişim için kötü amaçlı makrolar kullanmaktan kötü amaçlı LNK dosyalarına geçiş yaptı. Bunun nedeni, Microsoft’un 2022’de bilinmeyen kaynaklardan veya internetten indirilen Office belgeleri için makroları varsayılan olarak devre dışı bırakacağını duyurmasıdır.
Mevcut saldırı vektörü, kötü amaçlı yüklerin yürütülmesi için proxy oluşturmak amacıyla cmstp.exe işlemini çalıştıran Microsoft Bağlantı Yöneticisi Profilini kullanıyor.
Bu mevcut kampanyanın Invicta hırsızlarının bulaşma yöntemine benzer olduğu görüldü ancak enfeksiyon zincirinin değişkenlik gösterdiği görülüyor. Bu, tehdit aktörlerinin TTP’lerini (Taktikler, Teknikler ve Prosedürler) değiştirdiği sonucuna varıyor.
Çoğu durumda, uzak VBScript bulaşmasını içeren LNK dosyası, ZIP veya ISO gibi dosya uzantılarına sahip meşru görünen ekler olarak gizlenen spam e-postalar aracılığıyla dağıtılır.
Microsoft Bağlantı Yöneticisi Profilinden Yararlanacak LNK Dosyaları
PDF dosyası olarak gizlenen LNK dosyasına gömülü ZIP dosyasının indirilmesinin ardından. Bu, uzak sunucudaki bir .hta dosyasının uzaktan komutla yürütülmesini başlatır.
Bu .hta dosyası yürütüldüğünde, son derece karmaşık olan VBScript’in indirilmesi başlatılır. Bu VBScript, yürütüldükten sonra PowerShell yükleyicisinin gizliliğini kaldırır ve bu da bir PowerShell indiricisinin etkinleştirilmesine neden olur.
Bu PowerShell indiricisi, kötü amaçlı yazılım dosyalarını iki URL’den getirir:
- hxxp[:]//a0840501.xsph[.]ru/Inv.pdf
- hxxp[:]//a0840501.xsph[.]ru/71iqujprzsp4w[.]exe
Bu dosyalar daha sonra orijinal adlarıyla birlikte AppData\Roaming dizininde saklanır. Dosyalar bir PDF ve bir EXE dosyasıdır (Redline hırsız kitaplığı). PowerShell indiricisi, UAC (Kullanıcı Erişim Denetimi) atlaması için cmstp.exe’yi kullanır.
Silahlandırılmış LNK Dosyaları Açık
Cyber Security News’e sunulan rapora göre, kötü amaçlı yazılım yüklerinin, Silahlandırılmış LNK Dosyalarının Blank Grabber, Redline Stealer ve NetSupport RAT olduğu keşfedildi.
Blank Grabber, bir GUI oluşturucu içeren ve kolayca hırsız yükleri oluşturmak için kullanılabilen, Python tabanlı, açık kaynaklı bir hırsızdır. Ayrıca, hırsızı özel simge, UAC atlama ve başlatma sırasında kalıcılık gibi özelleştirme seçeneği de sunar.
Redline Stealer siber forumlarda satılıyor ve siber uzaydaki en önde gelen bilgi hırsızlarından biri. Bu, parolalar, oturum açma kimlik bilgileri, otomatik doldurma verileri ve kredi kartı ayrıntıları gibi hassas bilgilere yetkisiz erişim elde etmek için kullanılabilir.
NetSupport RAT, yöneticiler tarafından kullanıcılara meşru uzaktan erişim için kullanılan, ancak tehdit aktörleri tarafından yetkisiz erişim elde etmek amacıyla kötüye kullanılan ticari bir RAT’tır.
Ayrıca Cyble araştırmacıları tarafından gizleme, saldırı vektörü, YARA kuralları ve diğer ayrıntılar hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
Göstergeler | Gösterge Türü | Tanım |
110ea5727b750a69876de6613ba71c8f80edd2e7cef2a276a855082affcd9f | SHA256 | Boş Kavrayıcı |
https[:]//transfer.sh/iATCFJFn3d/Video_of%20Dollar_Recalling.exe | URL’si | Kötü amaçlı URL |
a6c163e45059640158828422622606f0d1608bb61ed0cb3cb27a138fe1c50c6d | SHA256 | Kötü Amaçlı HTA Dosyası |
hxxp[:]//sadeceaile[.]ddns.net/crypt[.]exe | URL’si | Kötü amaçlı URL |
hxxp[:]//a0820799.xsph[.]ru/Yük[.]exe | URL’si | Kötü amaçlı URL |
27fd34dae9c30605a0739011fce957acd40c679b1b19a079946c4a6e6a0445f9 | MD5SHA1SHA256 | Redline Hırsızı |
513bc40cedbb94ee65afe77dac8464bb2693a098a15a08bb68a761acec223cdd | SHA256 | Redline Hırsızı |
3225120683b1449548f441eb5649bf6efc38af4ff74975ecb203ea8766247115 | SHA256 | Kötü Amaçlı Lnk Dosyası |
bbebe67be31bcc286fe08f24ade73cb162f7f501c974151e66fc375c2f22563 | SHA256 | Kötü Amaçlı Lnk Dosyası |
9905c430c3aa6e909c773af010ef8045521aba759d20a036ce065d8bf88eb9ee | SHA256 | Kötü Amaçlı HTA Dosyası |
49a568f8ac11173e3a0d76cff6bc1d4b9bdf2c35c6d8570177422f142dcfdbe3 | SHA256 | NetSupportManager’ı |
hxxps://montec-shop[.]from/images/client32[.]exe | URL’si | Kötü amaçlı URL |
hxxp[:]//94.156.253[.]17/İndirilenler/önemli[.]hta | URL’si | Kötü amaçlı URL |
6f08017be2fb3359cc15e2325e934465a9e7257657809f712c85f51a568e9dfc | SHA256 | Kötü Amaçlı Lnk Dosyası |
0786f1889d5f3f73b5d25289b2d9d8f6a578758bc6987f88d8ae7c81c2baacd9 | SHA256 | Kötü Amaçlı Lnk Dosyası |
e9abe79fceded092601af33d75859030242fd1e9ad4978cd1ceba5d9e9d88d7e | SHA256 | Kötü Amaçlı Lnk Dosyası |
de3d0a11dec2e3b4afce991a690024e96dca389f8a0a3c6a65b559c9f1c12d59 | SHA256 | Kötü Amaçlı Lnk Dosyası |
f9446736df6a16ba5747b617d8f69a327ec150a07f7e0adb944b65e23c2fcdc9 | SHA256 | Kötü Amaçlı Lnk Dosyası |
8f65f6a346f568171760ce5b747bd6177a2e0111d37a3df5047905c4f1f86346 | SHA256 | Kötü Amaçlı Lnk Dosyası |
687baa62d88a16ae54e4ff3ad584a5c7bdf71121a0fc84d863363f064cd6053b | SHA256 | Kötü Amaçlı Lnk Dosyası |
1126845e909b7c776e5b48bf64db24f19b0183b7204f50aedfb8ecba52c8dcbb | SHA256 | Kötü Amaçlı Lnk Dosyası |
c2807549c5965cf165839b876f8dd3ea44d51478e4cdc4dcca6146b223b0066d | SHA256 | Kötü Amaçlı Lnk Dosyası |
cf8decdb1efe459a0e8d5817d209cfdd27731694956db3e111f1f8cb32456a7a | SHA256 | Kötü Amaçlı Lnk Dosyası |
837f7e7a6799e25767839e487d97a5b61d9dc43add143e4b3680d756fefc1b95 | SHA256 | Kötü Amaçlı Lnk Dosyası |
845087bb407b34d8003174a3b63b6c50c7ab4b13ef81636b8344740bb7a8559c | SHA256 | Kötü Amaçlı Lnk Dosyası |
a2dfcc3e26858a9c730b7c10b55f82ae4dcea1a35826cfbe992287df80c4929b | SHA256 | Kötü Amaçlı Lnk Dosyası |
84172e09798be8252fb18887e9cd29e47279df9641ab50185a6eea50f4c02fef | SHA256 | Kötü Amaçlı Lnk Dosyası |
59b392a0ff9a3ff064b5a4ab90de5b68c758429280c612fd08f9399475d3108d | SHA256 | Kötü Amaçlı Lnk Dosyası |
48cffc07e026c38234b77ca74d30a07a01f16da9d8ab24be73c934d6972f0ace | SHA256 | Kötü Amaçlı Lnk Dosyası |
cc652a2be3f935f1bf3c40f7033239e09357da22f98b6abcab17bbb34266a02a | SHA256 | Kötü Amaçlı Lnk Dosyası |
bbebe67be31bcc286fe08f24ade73cb162f7f501c974151e66fc375c2f22563 | SHA256 | Kötü Amaçlı Lnk Dosyası |
df86358f815e4c6760f5005a283c5e842dd7091dc328ac0f73b7667f6754c8bc | SHA256 | Kötü Amaçlı Lnk Dosyası |
3225120683b1449548f441eb5649bf6efc38af4ff74975ecb203ea8766247115 | SHA256 | Kötü Amaçlı Lnk Dosyası |
8b6ea98bb931bf67bcea0ff67cc5d44d956a4b3fffd1817e1f3ad89696fb3798 | SHA256 | Kötü Amaçlı Lnk Dosyası |
f602321b7a764a0dffe32d9dfbac7c221fcf200f13d20e4fbfe978d56496a72b | SHA256 | Kötü Amaçlı Lnk Dosyası |
d1825f07b07560f8d76c8d9125fc3029a4b328ecca836d01b5934ff8f02a32e1 | SHA256 | Kötü Amaçlı Lnk Dosyası |
a08c36812818618f44782c3677c8b8b8159a1beacbad66adbe232e694d91176e | SHA256 | Kötü Amaçlı Lnk Dosyası |
e9cbfe72cf4bf807f57df16611bea622c77ad501ee85c39ed171b8cdb05ba092 | SHA256 | Kötü Amaçlı Lnk Dosyası |
3a00180db6da59cc44933db6faa043b1ae770098a4eb52d5c2f4cf060cb60d72 | SHA256 | Kötü Amaçlı Lnk Dosyası |
7fd01399dec681c37cd14edeb37c601a85e1a3e567d0ff2accca1dad4bc9c53b | SHA256 | Kötü Amaçlı Lnk Dosyası |
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.