Remcos, saldırganların virüslü bilgisayarlar üzerinde yetkisiz kontrol elde etmelerine olanak tanıyan bir Uzaktan Erişim Truva Atı’dır (RAT).
Bu RAT, 2016 yılında piyasaya sürülmesinden bu yana siber suç faaliyetlerinde silah haline getirildi ve yaygın olarak kullanıldı.
Trellix araştırmacıları yakın zamanda dosyasız Remco RAT dağıtan silahlandırılmış Excel belgeleri konusunda uyarıda bulundu.
Silahlandırılmış Excel Belgesi
Bu yeni kötü amaçlı yazılım kampanyasında, tehdit aktörlerinin Microsoft Office ve WordPad’in OLE nesnelerini işleme biçimindeki kritik bir güvenlik açığını istismar ettiği tespit edildi; bu güvenlik açığı “CVE-2017-0199” olarak belirlendi.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Burada saldırı, kullanıcı etkileşimini teşvik eden, korumalı gibi görünen şifrelenmiş bir Excel dosyası içeren bir kimlik avı e-postasıyla başlıyor.
Dosya açıldığında, kötü amaçlı bir HTA dosyasını bir URL’den (hxxps://slug.vercel.app/wyiqkf) indirerek gömülü OLE nesnelerini yürütmek için CVE-2017-0199’u kullanır.
Bu HTA dosyası daha sonra base64 kodlu parametrelerle PowerShell komutlarını yürütür ve bu da “hxxp://45.90.89.50/100/instantflowercaseneedbeautygirlsherealways.gIF” adresinden bir VBScript alınmasına yardımcı olur.
VBScript, gizlenmiş veriler içerir ve bu veriler PowerShell tarafından işlendiğinde ek PowerShell işlemleri oluşturur.
Bu işlemler, son yükü içeren bir JPEG dosyasını (hxxp://servidorwindows.ddns.com.br/Files/vbs.jpeg) indirir.
Raporda, saldırının Remcos RAT’ın dosyasız bir versiyonunu meşru bir Windows işlemine enjekte ettiği belirtiliyor.
Bu kampanyada tehdit aktörleri, öncelikli olarak Belçika, Japonya, ABD, Güney Kore, Kanada, Almanya ve Avustralya’daki şu sektörleri hedef alarak karmaşık kaçınma taktiklerini sergilediler:
- Devlet
- Üretme
- BT
- Bankacılık
Bu, “RevengeRAT”, “SnakeKeylogger”, “GuLoader”, “AgentTesla” ve “FormBook” gibi kötü amaçlı yazılımların dağıtıldığı benzer saldırıları da içeren bir eğilimin parçası.
Çok aşamalı yaklaşım, güvenlik önlemlerini aşmak için T1221 (Şablon Enjeksiyonu) ve T1059.001 (Visual Basic Scripting) gibi teknikler kullanıyor ve görünüşte zararsız belgeleri kullanarak güçlü kötü amaçlı yazılım yükleri sunan siber tehditlerin giderek karmaşıklaştığını vurguluyor.
Saldırı, derleme manipülasyonu için açık kaynaklı bir .NET kütüphanesi olan gömülü base64 kodlu ‘dnlib.dll’ içeren bir JPEG dosyasıyla başlıyor.
Bu dll, çalışma zamanı derleme işlemlerini etkinleştiren bir .NET sınıfı olan System.Reflection.Assembly aracılığıyla doğrudan belleğe yüklenir ve kodlanır.
PowerShell daha sonra kötü amaçlı bir URL’den base64 kodlu veriler içeren bir metin dosyası indirir. Bu veriler yüklenen dnlib.dll tarafından çözülür ve işlenerek Remcos RAT’ın bellek içi .NET derlemesi oluşturulur.
Daha sonra RAT, yürütülmek üzere meşru Windows işlemi ‘RegAsm.exe’ içine enjekte edilir ve bu işlem Remcos ile ilişkili davranışların en az izlerini bırakır.
Remcos, saldırganların sürekli erişimini garanti altına alan işlem enjeksiyonu yoluyla kalıcılık oluşturur.
Bu gelişmiş yaklaşım, güvenlik açığı istismarını, yalnızca belleğe dayalı .NET derlemelerini ve gelişmiş kaçınma tekniklerini bir araya getirerek modern kötü amaçlı yazılımların karmaşıklığını gözler önüne seriyor.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin