Yeni ortaya çıkan kurumsal kimlik avı kampanyası Microsoft Windows kullanıcılarını hedef alan bu saldırılar, çoklu tespit-kaçınma teknikleri altında uzaktan erişim Truva Atları (RAT’lar) ve diğer kötü amaçlı yazılımların yayılmasına neden oluyor.
Kampanyanın arkasındaki saldırganlar, kullanıcıları öncelikle VenomRAT sürüm 6’yı sunmak için ScrubCrypt aracını kullanan bir eki tıklamaya ikna etmeye çalışıyor, ancak sıklıkla kullanılan diğer çeşitli kötü amaçlı yazılımlar da bununla ilişkilendiriliyor kampanya ileFortinet’in FortiGuard Laboratuvarları Tehdit Araştırması araştırmacıları bir blog yazısında bunu açıkladı.
RAT, saldırganların komuta ve kontrol (C2) sunucusuyla bağlantıyı sürdürürken, saldırı, aşağıdakiler de dahil olmak üzere eklentileri devre dışı bırakır: Remcos RATXWorm, NanoÇekirdek RATve araştırmacılara göre belirli kripto cüzdanları için tasarlanmış bir hırsız.
Gönderiye göre, sonuçta kampanya, hedeflenen sistemlerden (görünüşte gelecekteki saldırılarda kullanılmak üzere) kritik verileri çalmayı ve aynı zamanda kurbanın ağında kalıcılığı sağlamayı amaçlıyor.
Fortinet’in kıdemli antivirüs analisti Cara Lin şöyle yazdı: “Saldırganlar, kurban sistemlerine sızmak ve bu sistemleri tehlikeye atmak için kötü amaçlı eklentiler içeren kimlik avı e-postaları, gizlenmiş komut dosyaları ve Guloader PowerShell gibi çeşitli yöntemler kullanıyor.” “Ayrıca eklentilerin farklı yükler aracılığıyla dağıtılması, saldırı kampanyasının çok yönlülüğünü ve uyarlanabilirliğini vurguluyor.”
VenomRAT daha önce kullanılan bir araçtır. 8220 Çetesigüçlü bir botnet’i silah olarak kullanan bir siber suç grubudur. Lin, bu arada ScrubCrypt’in yürütülebilir dosyaları tespit edilemeyen toplu dosyalara dönüştürdüğünü ve “kötü amaçlı yazılımları manipüle etmek için çeşitli seçenekler sunarak antivirüs ürünlerinin tespitini daha zor hale getirdiğini” belirtti.
Sahte Fatura Kimlik Avı
Kampanya genellikle, bir gönderinin aslında “INV0ICE_#TBSBVS0Y3BDSMMX.svg” adlı bir SVG dosyası olan ve yerleşik base64 kodlu veriler içeren bir “fatura” ekiyle teslim edildiğini belirten bir kimlik avı e-postasıyla başlar.
Hedeflenen bir kullanıcı SVG dosyasını açarsa, ECMAScript yeni bir blob oluşturur ve kodu çözülmüş verileri “INV0ICE_#TBSBVS0Y3BDSMMX.zip” adlı bir ZIP dosyası olarak bırakmak için “window.URL.createObjectURL”yi kullanır. Lin, sıkıştırılmış dosyanın, antivirüs programı tarafından tespit edilmekten etkili bir şekilde kaçınırken kötü amaçlı yazılım dağıtan BatCloak aracı tarafından oluşturulmuş gibi görünen gömülü bir yük içeren karmaşık bir toplu iş dosyasını ortaya çıkardığını açıkladı.
Gömülü komut dosyası başlangıçta bir PowerShell yürütme dosyasını “C:\Users\Public\xkn.exe” dizinine kopyalar ve kopyalanan dosyayı daha sonraki komutlarda, etkinliğini gizleyen parametreleri kullanarak kullanır. Daha sonra kötü amaçlı verinin kodunu çözer ve onu “pointer.png” olarak kaydeder; bu daha sonra “pointer.cmd” olarak yürütülür ve önceden yürütülen tüm dosyaları siler.
ScrubCrypt VenomRAT’ı Sunuyor
Lin, “pointer.cmd” dosyasının ScrubCrypt toplu dosyası olarak hizmet ettiğini ve “okunabilirliği engellemek için kasıtlı olarak çok sayıda gereksiz dizeyle karıştırıldığını” yazdı. Dosya iki veri içeriyor; bunlardan ilki iki temel amaca hizmet ediyor: kalıcılığın sağlanması ve hedeflenen kötü amaçlı yazılım VenomRAT’ın yüklenmesi. ScrubCrypt toplu dosyasındaki ikinci yükün AMSI bypass ve ETW bypass için olduğunu belirtti.
VenomRAT ilk olarak 2020’de tanımlandı ve iyi bilinen Quasar RAT’ın değiştirilmiş bir versiyonunu kullanıyor. Saldırganların hedeflenen sistemler üzerinde yetkisiz erişim ve kontrol elde etmesine olanak tanır. Lin, “Diğer RAT’larda olduğu gibi, VenomRAT da saldırganların ele geçirilen cihazları uzaktan manipüle etmelerine ve kurbanın bilgisi veya rızası olmadan çeşitli kötü amaçlı faaliyetler yürütmelerine olanak tanıyor” diye yazdı.
VenomRAT dağıtıldıktan sonra kurban hakkında donanım özellikleri, kullanıcı adı, işletim sistemi ayrıntıları, kamera kullanılabilirliği, yürütme yolu, ön plan pencere adı ve yüklü antivirüs ürününün adı gibi bilgileri göndermek için C2 sunucusuyla iletişim başlatır. Daha sonra yukarıda belirtilen ek bilgileri elde etmek için C2 sunucusuyla iletişim kanallarını sürdürür. eklentiler Lin, saldırının oradan devam etmesi nedeniyle ilgili ve diğer kötü niyetli faaliyetler için yazdı.
Bu eklentiler arasında dikkate değer olan, genellikle çeşitli kötü amaçlarla kullanılan üç RAT’tır. Remcos RATSaldırganlara tuş vuruşlarını, ekran görüntülerini, kimlik bilgilerini ve diğer hassas bilgileri yakalamak için tam sistem kontrolü sağlayan; Bir kurbanın bilgisayarına uzaktan erişip onu kontrol edebilen NanoCore RAT; Ve Xwormfidye yazılımı yükleyebilen veya kalıcı bir arka kapı görevi görebilen .
Dikkat Gerekli
Bu siber saldırı kampanyasında çok katmanlı şaşırtma ve kaçırma teknikleri kullanıldığı için, işletmelerin tetikte kalması önemlidir.
Lin, “Saldırganların sistemde kalma, tespitten kaçma ve kötü amaçlı yükleri yürütme yeteneği, bu tür tehditleri etkili bir şekilde azaltmak için güçlü siber güvenlik önlemlerinin ve dikkatli izlemenin öneminin altını çiziyor” dedi.
Kuruluşlar, kullanıcıları aşağıdakilerin ayırt edici işaretleri konusunda eğitmelidir: Kimlik avı kampanyaları ve onları şüpheli etkinlikleri BT departmanlarına bildirmeye teşvik edin, ayrıca güvenilmeyen kaynaklardan gelen dosyaları indirmekten veya bağlantılara tıklamaktan kaçının.
Kaçınma taktiklerine rağmen, güçlü bir antivirüs tespit sistemi, ağa giren kötü amaçlı yazılımları tespit etmelidir ve içerik devre dışı bırakma ve yeniden yapılandırma hizmetini içeren bir sistem, belgedeki kötü amaçlı makroların herhangi bir zarar vermeden önce devre dışı bırakılmasına da yardımcı olur. Lin yazdı.
Fortiguard, gönderide ilgili C2 alanları, saldırıyla ilişkili URL’ler ve saldırının dağıttığı dosyalar da dahil olmak üzere belirli VenomRAT kampanyası için risk göstergelerinin bir listesini yayınladı.