CERT-UA, Mahkeme Çağrıları Kullanarak HTA tarafından teslim edilen C# kötü amaçlı yazılım saldırılarını uyarıyor


06 Ağu 2025Ravie LakshmananSiber Casusluk / Kötü Yazılım

HTA tarafından teslim edilen C# kötü amaçlı yazılım

Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), bir tehdit oyuncusu tarafından yürütülen siber saldırıları uyardı. UAC-0099 Ülkedeki savunma-sanayi kompleksinin devlet kurumlarını, savunma güçlerini ve işletmelerini hedeflemek.

Kimlik avı e -postalarını ilk uzlaşma vektörü olarak kullanan saldırılar, Matchboil, Matchwok ve Dragstare gibi kötü amaçlı yazılım aileleri sunmak için kullanılır.

İlk olarak Ajans tarafından Haziran 2023’te kamuya açıklanan UAC-0099, Ukrayna varlıklarını casusluk amacıyla hedefleme geçmişine sahiptir. LonePage adlı bir kötü amaçlı yazılım yaymak için Winrar Software’de (CVE-2023-38831, CVSS Skor: 7.8) güvenlik kusurlarından yararlanılan önceki saldırılar gözlenmiştir.

En son enfeksiyon zinciri, alıcıları Cuttly gibi URL kısaltma hizmetleri kullanılarak kısaltılmış bağlantıları tıklamaya ikna etmek için mahkeme çağrılarıyla ilgili e -posta cazibesini kullanmayı içerir. Ukr.net e -posta adresleri aracılığıyla gönderilen bu bağlantılar, bir HTML Uygulaması (HTA) dosyası içeren bir çift arşiv dosyasına işaret eder.

Siber güvenlik

HTA yükünün yürütülmesi, kalıcılık için planlanmış bir görev oluşturan ve nihayetinde, ana bilgisayarda ek kötü amaçlı yazılım bırakmak için tasarlanmış C#tabanlı bir program olan Matchboil adlı bir yükleyici çalıştıran gizlenmiş bir görsel temel komut dosyasının başlatılmasını tetikler.

Bu, Matchwok adlı bir arka kapı ve Dragstare adında bir stealer içerir. Ayrıca C# programlama dili kullanılarak yazılan Matchwok, PowerShell komutlarını yürütebilir ve yürütme sonuçlarını uzak bir sunucuya aktarabilir.

Öte yandan Dragstare, sistem bilgilerini, web tarayıcılarından verileri, “.docx”, “.doc”, “.xls”, “.rdp”, “.ovpn”, “,” .rdp “,” .txt “ve” .pdf “)” .txt “ve” .pdf “)” .txt “,”. PowerShell komutları saldırgan kontrollü bir sunucudan alınır.

HTA tarafından teslim edilen C# kötü amaçlı yazılım

Açıklama, ESET’in Gamaredon’un 2024 yılında Ukraynalı varlıklara karşı “amansız” mızrak -phshing saldırılarını kataloglayan ayrıntılı bir rapor yayınladıktan bir aydan biraz fazla bir süre sonra geliyor ve gizli, sebat ve yan hareket için tasarlanan altı yeni kötü amaçlı yazılım aracı kullanmasını detaylandırıyor –

  • PterodespairDaha önce konuşlandırılmış kötü amaçlı yazılım hakkında teşhis verileri toplamak için bir PowerShell keşif aracı
  • PteroticklePython uygulamalarını hedefleyen bir PowerShell silahlandırıcı, muhtemelen pteropsload veya başka bir PowerShell indiricisine hizmet veren kod enjekte ederek yanal hareketi kolaylaştırmak için sabit ve çıkarılabilir sürücülerde yürütülebilir ürünlere dönüştürülmüştür.
  • PterografMicrosoft Excel eklentileri ve planlanan görevleri kullanarak kalıcılığı oluşturmak ve Telegraph API’sı aracılığıyla yük dağıtım için şifreli bir iletişim kanalı oluşturmak için bir PowerShell aracı
  • PterostewPterosand ve Pterorisk’e benzer bir VBScript indiricisi), kodunu kurbanın sistemindeki benign dosyalarla ilişkili alternatif veri akışlarında saklayan
  • Pterokarkbir VBScript indirici, Pterolnk Silahçı’nın VBScript sürümünde yeni bir bileşen olarak tanıtıldı
  • PteroboxPteropsdoor’a benzeyen bir PowerShell dosya çalmacı ancak çalınan dosyaları Dropbox’a eklemek
Kimlik Güvenliği Risk Değerlendirmesi

Güvenlik araştırmacısı Zoltán Rusnák, “Gamaredon’un spearfishing faaliyetleri 2024’ün ikinci yarısında önemli ölçüde yoğunlaştı.” Dedi. “Kampanyalar genellikle bir ila beş gün sürdü, kötü amaçlı arşivler (RAR, ZIP, 7Z) veya HTML kaçakçılık teknikleri kullanan XHTML dosyaları içeren e -postalar.”

Saldırılar genellikle Pteropsdoor, Pterolnk, Pterovdoor ve Pteropsload gibi mevcut araçlarının güncellenmiş sürümlerini dağıtmanın yanı sıra pterosand gibi gömülü VBScript indiricilerini yürüten kötü amaçlı HTA veya LNK dosyalarının verilmesine neden olur.

Rusça uyumlu tehdit oyuncusunun Tradecraft’ın diğer önemli yönleri arasında hızlı akışlı DNS tekniklerinin kullanımı ve komuta ve kontrol (C2) altyapısını şaşırtmak için Telegram, Telegraph, Codeberg ve Cloudflare tünelleri gibi meşru üçüncü taraf hizmetlerine güvenme yer alıyor.

ESET, “Gözlemlenebilir kapasite sınırlamalarına ve eski araçları terk etmesine rağmen, Gamaredon sürekli yeniliği, agresif spearfishing kampanyaları ve tespitlerden kaçınmak için sürekli çabalar nedeniyle önemli bir tehdit oyuncusu olmaya devam ediyor.” Dedi.



Source link