Securonix Threat Labs, bir F-35 Lightning II savaş uçağı bileşenleri tedarikçisi de dahil olmak üzere Askeri ve Silah Yüklenici şirketlerini hedef alan yeni bir gizli saldırı kampanyası belirledi.
Bu kampanya, PowerShell hazırlayıcılarda PowerShell, güvenli C2 altyapısı ve birden çok şaşırtma katmanı kullanımını içeriyordu.
Mızraklı Kimlik Avı Saldırısı
Uzmanlar, ‘SpearPhishing’in ilk uzlaşmanın birincil yolu olduğunu söylüyor. Ayrıca, saldırılar en az iki yüksek profilli askeri müteahhit şirketi hedef aldı.
‘Mızraklı kimlik avı’, belirli bir kişi, kuruluş veya işletmeyi hedefleyen bir e-posta veya elektronik iletişim dolandırıcılığıdır. Genellikle kötü amaçlı amaçlarla veri çalmayı amaçlasa da siber suçlular, hedeflenen kullanıcının bilgisayarına kötü amaçlı yazılım yüklemeyi de isteyebilir.
Bulaşma aşaması, başlangıçta, hedefe kötü amaçlı bir ek içeren kimlik avı e-postası gönderilmesiyle başladı. Bu, daha önce bildirilen STIFF#BIZON kampanyasına benziyordu. E-posta, bir kısayol dosyası içeren sıkıştırılmış bir dosyaya sahiptir, bu durumda “Company & Benefits.lnk”.
Algılamayı önlemek için kısayol dosyası, cmd.exe veya powershell.exe yerine forfiles’i çağırarak yürütmesini gizlemeye çalışır ve komutları yürütmek için olağandışı “C:\Windows\System32\ForFiles.exe” komutuna güvenir.
Gizleme teknikleri, yeniden sıralama/sembol şaşırtma, IEX karartma, bayt değeri gizleme, ham sıkıştırma, yeniden sıralama, dize değiştirme ve ters tik gizlemeyi içerir.
Araştırmacılar, komut dosyasının hata ayıklama ve izleme yazılımıyla bağlantılı işlemlerin bir listesini taradığını, sanal alanlardan kaçınmak için ekran yüksekliğinin 777 pikselin üzerinde ve belleğin 4 GB’ın üzerinde olduğunu kontrol ettiğini ve sistemin üç günden daha uzun bir süre önce kurulduğunu doğruladığını söylüyor.
Kontrol başarısız olursa, komut dosyası sistem ağ bağdaştırıcılarını devre dışı bırakacak, Windows Güvenlik Duvarını tüm trafiği engelleyecek şekilde yapılandıracak, algılanan tüm sürücülerdeki her şeyi silecek ve ardından bilgisayarı kapatacaktır.
Ardından, tüm kontroller başarılı olursa, komut dosyası PowerShell Komut Dosyası Blok Günlüğü’nü devre dışı bırakarak ilerler ve “.lnk”, “.rar” ve “.exe” dosyaları ve ayrıca kötü amaçlı yazılımın işlevi için kritik olan dizinler için Windows Defender hariç tutmaları ekler. .
Securonix, “header.png dosyasını indirip analiz edebilsek de, kampanyanın tamamlandığını düşündüğümüzden ve teorimiz dosyanın daha fazla analizi önlemek için değiştirildiğine inandığımız için kodunu çözemedik.”
“Yükün kodunu çözme girişimlerimiz yalnızca çöp veriler üretecektir.”
Saldırı Zincirinin Çeşitli Bölümlerinde Kullanılan Etki Alanları:
- Terim[.]dev
- Terim[.]yoğun bakım
- Terim[.]uygulama
- Terim[.]vip
- Terim[.]wiki
- Terim[.]resimler
- Terim[.]çok komik
- Terim[.]mürekkep
Bu nedenle, bu saldırı, kötü niyetli tehdit aktörünün opsec’e özellikle dikkat etmesiyle karmaşıktı. Araştırmacılar, bu durumda, ‘Sürekliliğin’, yeni Kayıt anahtarları ekleme, komut dosyasını zamanlanmış bir göreve gömme, Başlangıç dizinine yeni bir giriş ekleme ve ayrıca WMI abonelikleri dahil olmak üzere birden çok yöntemle elde edildiğini söylüyor.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap