Bilgisayar Korsanları Silahlandırılmış MSC Dosyalarını Teslim Etmek İçin Amazon Hizmetlerini Kullanıyor

   Ağustos 23, 2024  Posted in CyberSecurityNews


Bilgisayar Korsanları Silahlandırılmış MSC Dosyalarını Teslim Etmek İçin Amazon Hizmetlerini Kullanıyor

Amazon’un sunduğu muazzam bilgisayar gücü, depolama alanı ve küresel erişim gibi özellikler nedeniyle bilgisayar korsanları sıklıkla Amazon hizmetlerini hedef alır ve bu hizmetlerden yararlanır.

Amazon’un hizmetlerinin bu unsurları, bilgisayar korsanları için kazançlı olup, bunları saldırılar başlatmak, kötü amaçlı içerik barındırmak ve faaliyetlerini gizlemek için ideal hale getiriyor.

DÖRT

ASEC’deki siber güvenlik analistleri yakın zamanda şunları tespit etti: bilgisayar korsanlarının Amazon Hizmetlerini kullanarak silahlandırılmış MSC dosyalarını ilettiği ortaya çıktı.

Teknik Analiz

MSC (Yönetim Konsolu) kötü amaçlı yazılımı, Microsoft Yönetim Konsolu (MMC) aracılığıyla yürütülen XML dosya yapılarını istismar ediyor.

MSC dosyasının dahili kodu (Kaynak – ASEC)

Elastic Security Labs tarafından 22 Haziran’da açıklanan son varyantlar, yükleri “MSC dosyalarının ” bölümü. Kötü amaçlı yazılım, AhnLab TIP kullanıcılarını hedef alan apds.dll’deki bir güvenlik açığından yararlanır.

“Attempts to enhance Japan’s defense capabilities and relive its defense industry (for review).msc” adlı analiz edilen bir örnek, “msedge.dll” de dahil olmak üzere kötü amaçlı dosyaları AWS S3’ten “C:\Users\Public” dizinine indiriyor.

İletişim geçmişi (Kaynak – ASEC)

“Edge.exe”, “Logs.txt” dosyasını şifreleyerek kabuk kodu oluştururken, meşru bir PDF dosyasını çalıştırır.

(Sol) MSC son yükü (Sağ) Decoy PDF belgesi (Kaynak – ASEC)

Bu kabuk kodu, daha sonra ek yük alımı için “152.42.226.161:88/ins.tg”ye bağlanan oluşturulan dllhost.exe işlemine enjekte edilir.

Son aşamada daha fazla indirme için “static.sk-inc.online:8443/etc.clientlibs/microsoft/clientlibs/clientlib-mwf-new/resources/fonts” ile iletişim kurulmaya çalışılır, ancak bu sunucu analiz sırasında etkin değildir.

Bu karmaşık saldırı zinciri, MSC tabanlı kötü amaçlı yazılım kampanyalarının gelişen taktiklerini göstermektedir.

Bu durumda dosyalar AWS S3’ten “C:\Users\Public”e alınır. Sonra, aslında bir .NET bileşeni olan “dfsvc.exe” olan “oncesvc.exe” dosyasına atlar.

“oncesvc.exe.config” dosyasından bir yürütülebilir dosya alır ve çalıştırır. JSON dosyası, “hxxps://speedshare.oss-cn-hongkong.aliyuncs.com/2472dca8c48ab987e632e66caabf86502bf3.xml” URL’sini çıkarmak için bir AES şifre çözme algoritması kullanan kılık değiştirmiş bir DLL gibi görünüyor.

Yeni bir iş parçacığı oluşturan ve yürüten kod (Kaynak – ASEC)

Kabuk kodu bu URL’den indirilir ve başka bir iş parçacığında yürütülür. Bu tehdit Amazon Cloud ile iletişim kurmaya çalışır, bu nedenle başarılı olursa alınan verileri şifresini çözer ve başka bir iş parçacığında yürütür.

Dikkat çekici olan, muhtemelen bir yem belge olan “readme.docx” dosyasına dair hiçbir ize rastlanmamasıydı.

Bu tür kötü amaçlı yazılımların kimlik avı e-postaları yoluyla yayıldığına inanılıyor, bu nedenle bu tür e-postalara karşı dikkatli olunması gerektiğini vurguluyor.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

Uzlaşma Göstergeleri

  • 0c93507db212c506fa82ffaadff7e034
  • 22a4b86bf351bf855b9205bd3255ad5e
  • 249c2d77aa53c36b619bdfbf02a817e5
  • 4b643cf1bb43941073fe88ad410da96e
  • 4ee936e21e154ae7e64e95b4537b0c7c



Source link