Son zamanlarda ortaya çıkan gelişmiş bir kötü amaçlı yazılım kampanyası, CVE-2017-0199’u istismar eden, görünüşte zararsız bir Excel dosyası sunmak için bir kimlik avı saldırısından yararlanıyor.
Microsoft Office’teki bu güvenlik açığından yararlanan saldırganlar, OLE nesnelerini kullanarak dosyanın içine kötü amaçlı kod yerleştirebiliyor.
Kötü amaçlı yükü gizlemek için şifreleme ve karartma tekniklerini kullanır. Dosya açıldığında, kurbanın sistemi Remcos RAT’ın dosyasız bir çeşidini çalıştırır ve saldırganlara uzaktan erişim ve kontrol sağlar.
Kötü amaçlı yazılım kampanyası, şifrelenmiş bir Excel dosyası içeren bir kimlik avı e-postası aracılığıyla bir Remcos RAT göndermek için CVE-2017-0199 güvenlik açığından yararlanıyor.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Saldırı zinciri, OLE nesnesi istismarını, HTA uygulama yürütmeyi ve RAT’ı meşru bir işleme enjekte etmek için PowerShell komutlarını içeriyor ve bu, LATENTBOT, FINSPY ve WingBird/FinFisher gibi çeşitli kötü amaçlı yazılım aileleri tarafından istismar edildi.
2024 yılında RevengeRAT, SnakeKeylogger, GuLoader, AgentTesla ve FormBook’u kullanan son kampanyalar, öncelikli olarak Belçika, Japonya, ABD, Güney Kore, Kanada, Almanya ve Avustralya’da Hükümet, Üretim, Teknoloji/BT ve Bankacılık sektörlerini hedef aldı.
Kurbanları aldatıcı bir Excel belgesini açmaya ikna etmek için bir kimlik avı eki kullanır ve kötü amaçlı bir URL içeren gömülü OLE nesnelerini yürütmek için bir güvenlik açığından (CVE-2017-0199) yararlanır.
Bu URL, kötü amaçlı bir sunucuya bağlantı başlatır, silahlandırılmış bir HTA dosyasını indirir ve çalıştırır ve sonuç olarak kurbanın sistemini tehlikeye atar.
Excel dosyası, kötü amaçlı bir HTA uygulamasını devreye sokmak için CVE-2017-0199’u kullanır; bu uygulama da uzak bir URL’den VBScript indirip çalıştıran bir PowerShell betiğini çalıştırır; bu VBScript’te gizlenmiş veriler bulunur ve PowerShell tarafından çözülüp yürütülür ve saldırıyı tırmandırmak için bir dizi PowerShell işlemi başlatılır.
Son işlem ise base64 kodlu ‘dnlib.dll’ kütüphanesini içeren bir JPEG dosyasını indirerek, çeşitli teknikler kullanarak tespit edilmekten kaçınıp hedef ortamda kalıcılık sağlayarak daha fazla kötü amaçlı aktivite için kod çözme ve belleğe yükleme işlemini gerçekleştirir.
Saldırı, PowerShell’in kötü amaçlı bir URL’den base64 kodlu bir metin dosyasını indirmesiyle başlıyor ve ardından ‘dnlib.dll’ tarafından işlenerek Remcos RAT’ın .NET derlemesini oluşturuyor ve daha sonra bu derleme meşru ‘RegAsm’ işlemine enjekte ediliyor.
Trellix’e göre Remco’nun RAT’ı daha sonra kendisini diğer meşru süreçlere enjekte ederek kalıcılığını sağlıyor ve geleneksel güvenlik savunmalarından kaçınıyor.
Remcos RAT varlığının göstergeleri arasında, MITRE ATT&CK teknikleri T1055.001, T1027, T1543.003 ve T1071.001’i kullanan keylogger dosyası ve ilişkili IOC’ler yer alır.
Saldırganlar, Microsoft Office’teki bir güvenlik açığından (CVE-2017-0199) yararlanarak kötü amaçlı kod yürütmek suretiyle kalıcı bir tehdit oluşturmak için gelişmiş tekniklerin bir kombinasyonunu kullandılar.
Daha sonra, saldırganların enfekte olmuş sistemde kalıcılığı sürdürmesine ve potansiyel olarak veri çalmasına yardımcı olan OLE nesneleri, yalnızca bellek kullanan .NET derlemeleri ve betikler (.hta, vbs.txt) gibi ek araçları tehlikeye atılmış sunuculardan indirdi.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin