Çok fonksiyonlu bir sıçan, yükleyici ve kötü amaçlı komut dosyaları olan kimlik avından yararlanan karmaşık bir saldırı olan Stego ust yeni bir bükülme oldu. RUN’un kötü amaçlı yazılım analistleri, Autorun’a kötü amaçlı bir komut dosyası eklemek için bir Windows kayıt defteri dosyası kullanan bir Stegocampaign varyantı keşfetti.
Autorun’dan yararlanmak son zamanlarda nadiren kullanılırken, bu yöntemi içeren yeni bir örnek bulunmuştur.
Saldırı Zinciri
- Kullanıcı, bir PDF dosyası eklenmiş bir kimlik avı e -postası alır.
- Eki açmak için kullanıcı, bir .reG dosyası olan “bir uzantı” indirmek için directerd’dir.
- İndirme ve açılışında, bu dosya kayıt defterini web’den bir VBS dosyasını getiren ve Autorun’a ekleyen bir komut dosyasıyla değiştirir.
- Windows yeniden başlatıldıktan veya kullanıcı giriş yaptıktan sonra planlanan görev çalıştırılır. VBS dosyası PowerShell’i başlatır ve sonuçta işletim sistemini geri yükleyici ile enfekte eden bir yürütme zincirini tetikler.
- Yükleyici, icrasını başlatarak Xworm’u indirir. Yük, bir görüntüye gömülü bir DLL dosyası içerir, daha sonra Xworm’u kaynaklarından çıkarır ve AddInProcess32 sistem işlemine enjekte eder.
Proaktif olarak savunmak için stegocampaign evrimini izleyin
Bu eylem zinciri, meşru sistem araçlarını kötüye kullanır ve kullanıcı eylemlerine dayanır, bu da otomatik güvenlik çözümlerinin tespit etmesini zorlaştırır. Kuruluşları risk altına sokar, potansiyel olarak veri ihlallerine ve hackerların hassas verilere erişmesine yol açar.
Ağınızı bu Stegocampaign taktiğinden korumak için kullanın Herhangi bir.run’un tehdit istihbarat araması Bilinen örnekleri araştırmak ve saldırının TTP’leri hakkındaki anlayışınızı zenginleştirmek için benzer örnekleri bulmak.
Algılama ve yanıt sistemlerinizi ince ayarlamak için daha fazla gösterge toplayın ve en yeni IOC’ler ve kötü amaçlı yazılım analisti topluluğu tarafından tespit edilen en yeni Stegocampaign saldırıları hakkında bilgilendirilecek otomatik arama sonuçları güncellemeleri için abone olun.
Saldırganlar tarafından kullanılan etki alanı şablonu göz önüne alındığında, TI aramasına “filemail.com” göndermek son kötü amaçlı etki alanı varyantlarını gösterir:
Sonuçlar, bir dizi ilişkili IP, istismar edilmiş alanlar, şüpheli dosyalar ve muteksleri listeler.
Ti Lookup ile ilk araştırmanızı başlatın En son siber saldırıları araştırmak için 50 ücretsiz arama isteği alın
Son olarak, değişen yükler ve parametrelere sahip daha fazla Stegocampaign örneğinden bir dizi kamu analiz oturumu içerirler.
Stegocampaign saldırıları son derece tehlikelidir. Bir dizi kimlik avı senaryosu ve kalıcılık teknikleri kullanırlar, sürekli gelişirler ve proaktif koruma, çevik tespit ve yanıt çağırırlar.
Siber suçlulara ayak uydurmak ve kaynaklarınızı kötüye kullanma girişimlerinin önünde kalmak için tehdit istihbarat çözümlerini kullanın.
RUN’un tehdit istihbarat araması, bu tür tehditlerin yönetilmesinde çok önemli bir rol oynar. Bilinen örnekleri araştırarak ve benzer saldırı modellerini belirleyerek, kuruluşlar rakipler tarafından kullanılan taktikler, teknikler ve prosedürler (TTP’ler) hakkında daha derin bilgiler kazanabilirler.
Bu zeka sadece ortaya çıkan tehditlerin anlayışını arttırmakla kalmaz, aynı zamanda işletmelerin tespit ve müdahale sistemlerine ince ayar yapmalarını sağlayarak daha sağlam bir savunma duruşu sağlıyor.
SOC ekibinizi en iyi istihbarat testi ile yeni tehditlere karşı silahlandırın TI 50 ücretsiz sorgu ile