Cisco Talos, Gamaredon Tehdit Oyuncusu Grubu tarafından devam eden bir siber kampanyayı ortaya çıkardı ve Ukraynalı kullanıcıları Remcos Backdoor’u teslim etmek için kötü niyetli LNK dosyalarıyla hedef aldı.
En azından Kasım 2024’ten bu yana aktif olan bu kampanya, kurbanları kötü amaçlı dosyaları yürütmeye teşvik etmek için Ukrayna çatışmasıyla ilgili temalardan yararlanan mızrak aktı taktikleri kullanıyor.
Ofis belgeleri olarak gizlenen LNK dosyaları, zip arşivlerine dağıtılır ve Rus veya Ukraynalı bir birlik hareketlerine ve savaşla ilgili diğer konulara atıfta bulunan dosya adları taşır.
Saldırı, LNK dosyasına gömülü bir PowerShell indiricisinin yürütülmesi ile başlar.
Bu indirici, Remcos arka kapısını içeren ikinci aşamalı bir zip yükü almak için Rusya ve Almanya’da bulunan coğrafi çitle çevrili sunucularla temasa geçiyor.
İndirilen yük, meşru uygulamalar yoluyla kötü amaçlı DLL’lerin yüklenmesini içeren bir yöntem olan arka kapıyı yürütmek için DLL kenar yükleme teknikleri kullanır. Bu yaklaşım, saldırganların geleneksel tespit mekanizmalarını atlamalarını sağlar.
Gelişmiş dağıtım mekanizmaları
Gamaredon’un kimlik avı e -postaları muhtemelen zip dosyalarının doğrudan eklerini veya kurbanları indirmeye yönlendiren URL’leri içerir.
Kampanyanın “8 gün boyunca düşman kalkışlarının koordinatları” veya “Batı ve Güneybatı’nın pozisyonları” gibi dosya adları, hassas jeopolitik temalardan yararlanmak için kasıtlı bir girişim önermektedir.
Meta veri analizi, Gamedon’un önceki kampanyalarda gözlemlenen operasyonel kalıplarıyla tutarlı olarak bu kötü niyetli kısayol dosyalarını oluşturmak için yalnızca iki makinenin kullanıldığını göstermektedir.
LNK dosyalarına gömülü PowerShell komut dosyaları, Get-Command cmdlet, antivirüs tespitinden kaçınmak için. Yürütüldükten sonra, bu komut dosyaları zip yükünü indirin ve çıkarın. %TEMP% dosya.
Yükü, son Remcos Backdoor yükünün şifresini çözen ve yürüten kötü niyetli DLL’ler yükleyen temiz ikili dosyaları içerir.
Bu arka kapı enjekte edilir Explorer.exe ve öncelikle Almanya ve Rusya merkezli altyapı üzerinde barındırılan komut ve kontrol (C2) sunucuları ile iletişim kurar.
Hedeflenen altyapı ve uzlaşma göstergeleri
Kampanyanın C2 sunucuları, Gthost ve Hyperhosting gibi İnternet servis sağlayıcıları tarafından barındırılıyor.
Özellikle, Gamaredon bu sunuculara erişimi coğrafi konuma göre kısıtlar ve bunları Ukraynalı kurbanlarla sınırlar.
Bu sunucuların bazıları için ters DNS kayıtları, araştırmacıların bu işlemle ilişkili ek IP adreslerini belirlemelerine yardımcı olan benzersiz eserler ortaya çıkar.
Remcos Backdoor’un kendisi, saldırganlara veri açığa çıkması ve sistem manipülasyonu dahil olmak üzere uzaktan kumanda için sağlam özellikler sağlar.
Cisco Talos, TivoDiag.exe Bu kampanya sırasında DLL yan yükleme için istismar edilmek.
Gamaredon’un DLL sideloading, coğrafi çitle çevrili altyapı ve tematik kimlik avı gibi gelişmiş teknikleri kullanması, devam eden jeopolitik gerilimler arasında Ukrayna’yı hedeflemedeki kalıcılığını vurgulamaktadır.
Kuruluşların sağlam uç nokta koruması, e -posta güvenlik önlemleri ve ağ izleme çözümleri uygulayarak bu tür tehditlere karşı uyanık kalmaları tavsiye edilir.
Bu tehdit için IOC’ler GitHub depomuzda bulunabilir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!