Tehdit aktörleri, “smtp-validator” ve “E-postadan SMS’e” gibi meşru araçlar kullanılarak geliştirilen Revenge RAT kötü amaçlı yazılımını dağıtıyor.
Kötü amaçlı yazılım yürütüldüğünde kötü amaçlı bir dosyayı ve meşru bir aracı çalıştırarak kullanıcıların kötü amaçlı bir etkinlik olduğunu bilmesini zorlaştırır.
Ayrıca tehdit aktörleri de bir setup.exe yürütülmeden önce yürütülen ve gizlenen dosya smtp-verifier.exe. Ayrıca, bu Revenge RAT kötü amaçlı yazılım yürütme sürecinde çeşitli dosyalar kullanılır.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Cyber Security News ile paylaşılan raporlara göre, kötü amaçlı “setup.exe” dosyası, oluşturulup çalıştırılarak ek kötü amaçlı yazılım üretmek için kullanılıyor svchost.exe içinde %appdata%Microsoft\Windows\Templates gizli özniteliğe sahip yol.
Bundan sonra svchost.exe dosyası, “Microsoft Corporation Security” değerine sahip setup.exe dosyası tarafından otomatik çalıştırma kayıt defterine kaydedilir. svchost.exe dosyası C2 sunucusuna bağlanır ve daha sonra sıkıştırılmış HTML dosyasını indirir.
İndirilen HTML dosyası explorer.exe dosyasını oluşturur ve çalıştırır. %appdata%Microsoft\Windows\Templates yol. İlk C2 sunucusu URL’sinin engellenmesi veya yeni bir C2’nin güncellenmesi durumunda alternatif bir çözüm olarak bahsedilen 2 C2 sunucusu vardı.
Bu yeni explorer.exe dosyası, version.exe adında başka bir dosya oluşturur. %appdata%Microsoft\Windows\ yolu ve %temp% yolunda bir .inf dosyası. Bu version.exe dosyası bir argümanla yürütülür. cmstp.exe (CMSTP savunma kaçırma). Son olarak Revenge RAT dosyasız kötü amaçlı yazılım olarak çalıştırılıyor.
Kötü amaçlı yazılım etkinliğinin kesintiye uğramasını daha da önlemek için version.exe, Revenge RAT kötü amaçlı yazılımı tarafından kullanılan dosyaları Windows Defender’a bir istisna listesi olarak ekleyen bir PowerShell komutunu çalıştıracak şekilde tasarlanmıştır.
ASEC, kötü amaçlı yazılım, kaynak kodu, dosya yürütme vb. hakkında ayrıntılı bilgi sağlar.
Uzlaşma Göstergeleri
Dosya Algılama
- Trojan/Win.Generic.C4223332
- Trojan/Win.Generic.C5583117
- Damlalık/Win.Generic.C5445718
- Damlalık/Win.Generic.R634030
- Arka kapı/Kazan.REVENGERAT.C5582863
- Arka kapı/Kazan.REVENGERAT.R634026
MD5
- 42779ab18cf6367e7b91e621646237d1 (smtp-verifier.exe)
- fb34fe9591ea3074f048feb5b515eb61 (Sms V8.1.exe’ye E-posta)
- 6d5ad2adce366350200958c37f08a994 (setup.exe)
- 914ec5019485543bb2ec8edcacd662a7 (setup.exe)
- 5e24e97bbc8354e13ee3ab70da2f3af6 (svchost.exe)
- 1242c41211464efab297bfa6c374223e (svchost.exe)
- 438817d3938ae5758d94bf2022a44505 (explorer.exe)
- 304e264473717fad8f7c6970212eaaa7 (versiyon.exe)
- d1af87e121d55230353cbad9b7024fae (Dosyasız İntikamRAT)
- 6e22b450a765caa999ca984521b42242 (g1rfp0hb.inf)
K&K
- qcpanel.hackcrack[.]io:9561
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.