BlindEagle tehdit aktörü, sofistike bir siber casusluk kampanyasıyla bir kez daha Kolombiya hükümet kurumlarını hedef aldı.
Bu son operasyon özellikle Ticaret, Sanayi ve Turizm Bakanlığı’na bağlı bir kuruma odaklandı ve standart e-posta güvenlik protokollerini aşmak için son derece etkili bir stratejiden yararlandı.
Saldırganlar, hedef kuruluştaki dahili bir e-posta hesabını ele geçirerek meşru bir dahili kaynaktan geliyormuş gibi görünen kimlik avı e-postaları gönderdi.
Bu yöntem, SPF, DKIM ve DMARC kontrollerini atlatmalarına ve kötü amaçlı mesajların alarmları tetiklemeden hedeflenen kurbanlara ulaşmasını sağladı.
Kimlik avı e-postaları, Kolombiya yargı biriminden gelen resmi bildirimleri taklit edecek şekilde hazırlanmıştı ve uydurma bir iş davasına gönderme yapıyordu.
Aciliyet ve korku aşılamak için tasarlanan mesajlar, alıcıları ekteki bir SVG görüntüsünü indirmeye zorlamak için yasal işlem başlatmakla tehdit ediyordu.
.webp)
Bu sosyal mühendislik taktiği, mağdurları enfeksiyon sürecini başlatmaya etkili bir şekilde ikna etti.
Bu ilk uzlaşmanın ardından Zscaler analistleri, saldırı zincirinin son derece karmaşık olduğunu, faaliyetlerini gizlemek için birden fazla gizleme katmanı ve meşru web hizmetleri kullandığını belirtti.
Bir kurban SVG ekiyle etkileşime girdiğinde, meşru bir devlet sitesine çok benzeyen sahte bir web portalına yönlendiriliyor.
.webp)
Bu portal, kötü amaçlı bir JavaScript dosyasını otomatik olarak dağıtır ve geleneksel antivirüs çözümlerinin tespitinden kaçınmak için bellek içi yürütmeye dayanan dosyasız bir bulaşma dizisini tetikler.
Enfeksiyon Mekanizması
Bulaşma mekanizması, iç içe geçmiş komut dosyalarını ve steganografiyi içeren çok aşamalı bir süreçtir. İlk JavaScript parçacıkları, özel bir algoritma kullanarak sonraki yüklerin gizliliğini kaldırır.
Aşağıdaki kod parçacığında gösterildiği gibi, kötü amaçlı yazılım, bir sonraki aşamayı oluşturmak için tamsayı dizilerini işleyerek yürütülebilir kodu yeniden oluşturur.
def deobfuscate(obf_code: List[int], step: int) -> str:
deobf_code = ""
for i in obf_code:
c = int_to_char(i - step)
deobf_code += c
return deobf_codeBu sıra, kodu çözülmüş BlindEagle PowerShell komutunda ayrıntılı olarak açıklandığı gibi, Windows Yönetim Araçları aracılığıyla bir PowerShell komutunu yürütür.
.webp)
Bu komut, İnternet Arşivinden gizli bir veri içeren bir PNG görüntüsünü alır. Yük, “caminho” gibi dahili argüman adlarının da gösterdiği gibi, Portekiz menşeli bir kötü amaçlı yazılım çeşidi olan Caminho indiricisidir.
Bu özel indirici, Discord CDN URL’sinden, özellikle AGT27.txt adlı bir metin dosyasından son veriyi almak için tasarlanmıştır. Caminho daha sonra URL’ye bağlanır ve bellekteki dosyanın kodunu çözer.
Son olarak, DCRAT Uzaktan Erişim Truva Atı, içi boş bir MSBuild.exe işlemine enjekte edilir. Bu son adım, saldırganlara tuş günlüğü tutma ve veri sızdırma dahil olmak üzere kapsamlı yetenekler sağlar ve onlara güvenilir bir Windows işlemi içinde gizlenirken tehlikeye atılan sistem üzerinde tam kontrol sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
