Farklı Türde Kötü Amaçlı Yazılım Sağlayan Bir Toplu Dosya

   Kasım 11, 2023  Posted in CyberSecurityNews


Yarasa yükleyici

Saldırının çeşitli aşamalarında kurbanlara çeşitli kötü amaçlı yazılım aileleri dağıtıldı. Fidye yazılımı, RAT ve Cryptojacker’ları dağıtmanın yaygın yöntemlerinden biri batloader kullanmaktı. Batloader, yürütüldüğünde çeşitli kötü amaçlı etkinlikler gerçekleştirebilen bir dosyadır.

Yarasa yükleyiciler, teslimat, yürütme ve ek yeteneklerdeki basitlikleri nedeniyle tehdit aktörleri arasında giderek daha popüler hale geldi. Siber suçlular ve APT grupları bunu geniş çapta benimsiyor.

DÖRT

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.


Teknik Analiz

Yarasa yükleyiciler genellikle kimlik avı e-postaları aracılığıyla gönderilir ve kurbanları sistemlerinde kötü amaçlı bir dosya çalıştırmaya teşvik eder. Kullanılan en yaygın batloader komut dosyasının oldukça karmaşık olduğu görüldü. Ancak toplu komut dosyasının gizliliğinin kaldırılması, toplu komut dosyasının eylemlerini sağladı.

Kaynak: Seqrite
Kaynak: Sekrit

Toplu komut dosyası, powershell.exe yürütülebilir dosyasını %temp%\Lroxmuu.png tarafından belirtilen konuma kopyalar. Ayrıca geçerli toplu iş dosyasını %temp%\Lroxmuu.png.bat tarafından belirtilen konuma kopyalar.

Karışık toplu iş dosyası (Kaynak: Seqrite)
Karışık toplu iş dosyası

Betikteki PowerShell komutları, base64 kodlu bir dize bağımsız değişkeni bekleyen -win özel parametresiyle başka bir betiği yürütür. Daha ileri analizler, betiğin mevcut toplu betikteki base64 kodlu bir kaynaktan dinamik kod yükleme ve yürütme gerçekleştirdiğini ortaya çıkardı.

Son olarak, belirli kötü amaçlı yazılım ailesini temel alan bir sürece yürütülebilir bir .NET dosyası eklendi. Bu dosya ayrıca belirli durumlarda ek yükün çıkarılması için Komuta ve Kontrol sunucusuyla bağlantı kurar.

Bu batloader hakkında kaynak kodu, analiz ve ek bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergeleri

  • 64250ddf94b90441193fe1c29754f231e0868d1878fdf3150e5744dd8d8c378
  • d71cdb791f3f58bd064fb840488f7e708d707b1d39e70fbe5c597f7fbcc0699e
  • fa78bb7d250a3893f188e5e7651070a20dd690fc6647020d5d399874e71c8e88
  • 184eaf1cfa3460a8fe544c6d3d253c18ac50ba18acb718d6a2707e25400a5eab
  • 108e07174511fa58ece920149d6b2f26f386b33f5e54bfbbb758b9c3b6cae362
  • 24f3f9ada9ef84eb3bb749de500e43c85640d8c0140ebe6d7573520f61bfe5f7
  • 7af0a77161be52ad53fdb2ae9a06cbd9eaf8d59be43c642901efcbb5c03d30e3
  • 5158b0a023299c1922423a065b9825fd1769f1a87ffd2031375a0e893d523318

StorageGuard ile depolama ve yedekleme sistemlerinizi korur – 40 saniyelik Video Turunu izleyin.



Source link