Ajan Tesla Varyants, Remcos Rat ve Xloader gibi kötü amaçlı yazılım aileleri sunan yeni bir çok aşamalı saldırı gözlendi.
Palo Alto Networks Birimi 42 araştırmacısı Saqib Khanzada, “Saldırganlar, algılamadan kaçınmak, geleneksel kum havuzlarını atlamak ve başarılı yük sunumu ve yürütme sağlamak için bu tür karmaşık dağıtım mekanizmalarına güveniyorlar.” Dedi.
Saldırının başlangıç noktası, bir JavaScript kodlu (.jse) dosyası içeren kötü niyetli 7-ZIP arşivi eki sunmak için sipariş isteği olarak ortaya çıkan aldatıcı bir e-postadır.
Aralık 2024’te gözlemlenen kimlik avı e -postası, bir ödeme yapıldığını iddia etti ve alıcıyı ekli bir sipariş dosyasını gözden geçirmeye çağırdı. JavaScript yükünü başlatma, dosya harici bir sunucudan bir PowerShell komut dosyası için indirici görevi görerek enfeksiyon sırasını tetikler.
Komut dosyası, sırayla, daha sonra deşifre edilen, Windows geçici dizine yazılmış ve yürütülen baz 64 kodlu bir yük barındırır. Burada ilginç bir şey olduğu yer: Saldırı, .NET veya Outoit kullanılarak derlenen bir sonraki aşama damlasına yol açar.
Bir .NET yürütülebilir dosyası olması durumunda, Şifreli Gömülü Yük – Snake Keylogger veya Xloader olduğundan şüphelenilen bir ajan Tesla varyantı – kod çözülür ve geçmiş ajan Tesla kampanyalarında gözlenen bir teknik olan bir teknik olan “regasm.exe” işlemine enjekte edilir.
Otoit, yürütülebilir dosyayı derledi diğer taraftan, analiz çabalarını daha da karmaşıklaştırmak amacıyla ek bir katman getirir. Yürütülebilir dosyadaki otomatik komut dosyası, son kabuk kodunun yüklenmesinden sorumlu olan şifreli bir yük içerir ve .NET dosyasının bir “regsvcs.exe” işlemine enjekte edilmesine neden olur ve sonuçta Ajan Tesla dağıtımına yol açar.
Khanzada, “Bu, saldırganın esnekliği artırmak ve tespitten kaçınmak için birden fazla yürütme yolu kullandığını gösteriyor.” “Saldırganın odak noktası, sofistike bir şaşkınlıktan ziyade çok katmanlı bir saldırı zincirinde kalıyor.”
“Saldırganlar, son derece sofistike tekniklere odaklanmak yerine basit aşamaları istifleyerek, analiz ve tespiti karmaşıklaştıran esnek saldırı zincirleri oluşturabilirler.”
Ironhusky, Mysterysnail Rat’ın yeni versiyonunu sunuyor
Açıklama, Kaspersky’nin Moğolistan ve Rusya’da bulunan hükümet kuruluşlarını MystyySnail Rat adlı kötü amaçlı bir yazılım versiyonuyla hedefleyen bir kampanyayı detaylandırdığı gibi geliyor. Etkinlik, Ironhusky olarak adlandırılan Çince konuşan bir tehdit aktörüne atfedildi.
En az 2017’den bu yana aktif olduğu değerlendirilen Ironhusky, daha önce Rus siber güvenlik şirketi tarafından, MysterySnail’i sunmak için bir Win32k ayrıcalık artış kusuru olan CVE-2021-40449’un sıfır gün sömürüsü ile bağlantılı olarak belgelenmişti.
Enfeksiyonlar, Moğolistan Ulusal Arazi Ajansı’ndan (“Ortak Financing Letter_Alamgac”) bir kelime belgesini taklit eden kötü niyetli bir Microsoft Yönetim Konsolu (MMC) betiğinden kaynaklanmaktadır. Komut dosyası, bir lure belgesi, meşru bir ikili (“ciscocollabhost.exe”) ve kötü niyetli bir DLL (“ciscosparklauncher.dll”) ile bir zip arşivi almak için tasarlanmıştır.
Lure belgesinin doğası bir kimlik avı kampanyası aracılığıyla olabileceğini düşündürse de, MMC komut dosyasının ilgi hedeflerine nasıl dağıtıldığı tam olarak bilinmemektedir.
Birçok saldırıda gözlemlendiği gibi, “Ciscocollabhost.exe”, açık kaynaklı boru-sunucu projesinden yararlanarak saldırgan kontrollü altyapı ile iletişim kurabilen bir aracı arka kapı olan DLL’yi yan yüklemek için kullanılır.
Arka kapı, komut kabuklarını çalıştırmak, dosyaları indirme/yükleme, dizin içeriğini numaralandırma, dosyaları silme, yeni işlemler oluşturma ve kendini sonlandırmak için özellikleri destekler. Bu komutlar daha sonra Mysterysnail sıçanını yan yüklemek için kullanılır.
Kötü amaçlı yazılımın en son sürümü, dosya yönetimi işlemlerini gerçekleştirmesine, cmd.exe üzerinden komutları yürütmesine, süreçleri ortaya çıkarmasına, hizmetleri yönetmesine, hizmetleri yönetmesine ve özel DLL modülleri aracılığıyla ağ kaynaklarına bağlanmasına olanak tanıyan yaklaşık 40 komutu kabul edebilir.
Kasperksy, saldırganların, etkilenen şirketler tarafından müdahaleleri engellemek için önleyici eylemler yapıldıktan sonra Mysterysnail ComenMonosnail’in “yeniden tasarlanmış ve daha hafif bir versiyonunu” düşürdüğünü gözlemlediğini söyledi.
Şirket, “Bu sürümün MysterySnail Rat’ın versiyonu kadar özel bir özelliği yok.” Diyerek şöyle devam etti: “Dizin içeriğini listelemek, dosyalara veri yazmak ve işlemleri ve uzaktan kabukları başlatmak için kullanılan sadece 13 temel komuta sahip olacak şekilde programlandı.”