Son zamanlarda JPCERT/CC tarafından, tehdit aktörlerinin, Haziran 2019’dan bu yana kötü amaçlı yazılımların e-posta kısayolları aracılığıyla dağıtımını içeren DangerousPassword saldırı kampanyasına (CryptoMimic veya SnatchCrypto olarak da bilinir) bağlı kripto para borsalarını aktif olarak hedef aldığı gözlemlendi.
E-posta yoluyla kötü amaçlı yazılım dağıtımının yanı sıra, saldırganlar tarafından hedeflere kötü amaçlı yazılım bulaştırmak için çeşitli saldırı modelleri kullanılır ve gözlemlenen dört özel model vardır.
Aşağıda bu dört saldırı modelinden bahsetmiştik: –
- LinkedIn’den kötü amaçlı CHM dosyaları göndererek saldırılar
- OneNote dosyalarını kullanan saldırılar
- Sanal sabit disk dosyalarını kullanan saldırılar
- macOS’u hedefleyen saldırılar
Saldırı Modellerinin Analizi
Aşağıda, gözlemlenen dört saldırı modelinin tam analizinden bahsetmiştik: –
LinkedIn’den kötü amaçlı CHM dosyaları göndererek saldırılar
Saldırganlar, kötü amaçlı yazılım göndermek için LinkedIn’i kullanarak hedeflere ulaşmak için alternatif yöntemler kullanır; burada alınan sıkıştırılmış RAR dosyası, yürütüldükten sonra harici bir MSI dosyasını indiren ve çalıştıran bir CHM dosyası içerir.
TehlikeliŞifre
Yürütmenin ardından, MSI dosyası, başka bir MSI dosyasını (Yönetici-a214051.msi) indirmek ve yürütmek için bir PowerShell betiği dağıtır ve bu da, Base64 kodlu biçimde HTTP POST isteği yoluyla virüslü ana bilgisayarlar hakkında bilgi toplar ve iletir.
Araştırmacılar, saldırganların sosyal ağ hesaplarını ele geçirme yöntemi bilinmese de, iş sağlayıcı olarak poz veren güvenliği ihlal edilmiş LinkedIn hesaplarının hedeflere kötü amaçlı yazılım göndermek için kullanıldığını doğruladı.
OneNote dosyalarını Kullanan Saldırılar
Emotet ve diğer kötü amaçlı yazılım saldırılarında gözlemlenen kötü amaçlı yazılım bulaşması için OneNote dosyasının kullanılması, e-posta eki tabanlı bulaşma kampanyalarında giderek daha yaygın hale geliyor.
Diğer kötü amaçlı yazılım saldırılarıyla uyumlu olarak, DangerousPassword gömülü kötü amaçlı yazılım içeren bir OneNote dosyası kullanır ve dosyayı açmak bulaşmayı tetikler.
OneNote dosyası, ana bilgisayara bir DLL yükleyen ve yürüten, aynı zamanda AV araçlarını tanımlama yeteneğine sahip olan kötü amaçlı bir MSI dosyası içerir.
Belirli bir antivirüs yazılımını tespit ettikten sonra, kötü amaçlı yazılım aşağıdakileri sonlandırarak eylemlerini ayarlar:-
- İzlemeden kaçınmak için süreci NTDLL’ye bağlar
- curl komutlarındaki verileri değiştirme
- İndirilen kötü amaçlı yazılımı başlatma yöntemini değiştirme
Aşağıda AV programlarından bahsetmiştik: –
- dur
- avira
- bitdefender
- Kaspersky
- Sofos
- Trend Mikro
- Windows Defender
Sanal sabit disk dosyalarını kullanan saldırılar
Rapora göre Saldırganlar, kötü amaçlı yazılımları ZIP veya RAR formatlarında sıkıştırarak, bir ISO dosyasına dahil ederek veya Windows işletim sistemine çift tıklayarak monte edilebilen ve yaygın olarak Hyper için kullanılan bir VHD dosyasına gömerek gizleyebilirler. -V sanallaştırma.
VHD dosyası, DLL’yi başlatmak için bir aldatıcı PDF, ana kötü amaçlı yazılım (DLL) ve bir yürütülebilir dosya (EXE) içerir. DLL dosyası, OneNote dosyasının kötü amaçlı yazılımına benzer şekilde çalışır.
macOS’u hedefleyen saldırılar
Saldırganlar artık curl komutunu kullanarak main.scpt dosyası aracılığıyla yetkisiz bir uygulamayı indiren ve yürüten bir AppleScript kullanarak hem Windows’u hem de macOS’u hedefliyor.
Yürütülen uygulama bir pencere görüntüler ve dosya içeriğini okumak için XOR kod çözmeyi kullanır, kodu çözülmüş komut ve kontrol (C2) sunucusundan bir dosya indirir ve ardından onu yürütür.
Kalıcı APT grubu DangerousPassword, potansiyel bir iletişim yöntemi olarak LinkedIn’i kullanarak Japonya’daki kripto para borsalarını hedefliyor ve sosyal medya platformlarıyla etkileşim kurarken dikkatli olmayı gerektiriyor.
Ayrıca, saldırganlar işletim sisteminin güvenlik açıklarından yararlanabileceği için macOS kullanıcıları dikkatli olmalıdır.