Saldırının çeşitli aşamalarında kurbanlara çeşitli kötü amaçlı yazılım aileleri dağıtıldı. Fidye yazılımı, RAT ve Cryptojacker’ları dağıtmanın yaygın yöntemlerinden biri batloader kullanmaktı. Batloader, yürütüldüğünde çeşitli kötü amaçlı etkinlikler gerçekleştirebilen bir dosyadır.
Yarasa yükleyiciler, teslimat, yürütme ve ek yeteneklerdeki basitlikleri nedeniyle tehdit aktörleri arasında giderek daha popüler hale geldi. Siber suçlular ve APT grupları bunu geniş çapta benimsiyor.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Teknik Analiz
Yarasa yükleyiciler genellikle kimlik avı e-postaları aracılığıyla gönderilir ve kurbanları sistemlerinde kötü amaçlı bir dosya çalıştırmaya teşvik eder. Kullanılan en yaygın batloader komut dosyasının oldukça karmaşık olduğu görüldü. Ancak toplu komut dosyasının gizliliğinin kaldırılması, toplu komut dosyasının eylemlerini sağladı.
Toplu komut dosyası, powershell.exe yürütülebilir dosyasını %temp%\Lroxmuu.png tarafından belirtilen konuma kopyalar. Ayrıca geçerli toplu iş dosyasını %temp%\Lroxmuu.png.bat tarafından belirtilen konuma kopyalar.
Betikteki PowerShell komutları, base64 kodlu bir dize bağımsız değişkeni bekleyen -win özel parametresiyle başka bir betiği yürütür. Daha ileri analizler, betiğin mevcut toplu betikteki base64 kodlu bir kaynaktan dinamik kod yükleme ve yürütme gerçekleştirdiğini ortaya çıkardı.
Son olarak, belirli kötü amaçlı yazılım ailesini temel alan bir sürece yürütülebilir bir .NET dosyası eklendi. Bu dosya ayrıca belirli durumlarda ek yükün çıkarılması için Komuta ve Kontrol sunucusuyla bağlantı kurar.
Bu batloader hakkında kaynak kodu, analiz ve ek bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
- 64250ddf94b90441193fe1c29754f231e0868d1878fdf3150e5744dd8d8c378
- d71cdb791f3f58bd064fb840488f7e708d707b1d39e70fbe5c597f7fbcc0699e
- fa78bb7d250a3893f188e5e7651070a20dd690fc6647020d5d399874e71c8e88
- 184eaf1cfa3460a8fe544c6d3d253c18ac50ba18acb718d6a2707e25400a5eab
- 108e07174511fa58ece920149d6b2f26f386b33f5e54bfbbb758b9c3b6cae362
- 24f3f9ada9ef84eb3bb749de500e43c85640d8c0140ebe6d7573520f61bfe5f7
- 7af0a77161be52ad53fdb2ae9a06cbd9eaf8d59be43c642901efcbb5c03d30e3
- 5158b0a023299c1922423a065b9825fd1769f1a87ffd2031375a0e893d523318
StorageGuard ile depolama ve yedekleme sistemlerinizi korur – 40 saniyelik Video Turunu izleyin.