Cyble araştırmacıları, hacktivist grup Head Mare tarafından yürütülebilir bir dosyayı gizlemek için gizlenmiş bir LNK dosyası kullanan, Rusya’yı hedef alan yeni bir kampanya tespit etti.
Cyble Research and Intelligence Labs (CRIL) araştırmacıları bugün yayınlanan bir blog yazısında, kampanyanın aynı zamanda fidye yazılımı da dahil olmak üzere ek yükler indirme ve belirli komutlar ve yükler yoluyla bir uzlaşmayı artırma yeteneği açısından da dikkat çekici olduğunu yazdı.
Cyble araştırmacıları, “Grubun kurban verilerini toplama ve fidye yazılımı da dahil olmak üzere ek yükler dağıtma yeteneği, oluşturduğu süregelen tehdidin altını çiziyor” dedi.
Baş Mare Ukrayna ile Savaştan Çıkıyor
Kaspersky araştırmacıları daha önce bir blog yazısında şöyle yazmıştı: Head Mare, Rusya’nın Ukrayna’yı işgalinin ardından “ana hedefi genellikle finansal kazanç sağlamak değil, çatışmanın karşı tarafındaki şirketlere mümkün olduğunca fazla zarar vermek olan çok sayıda hacktivist gruptan biri” olarak ortaya çıktı. bu yıl.
Grubun en son kampanyası, hem kötü amaçlı bir LNK dosyası hem de yürütülebilir bir dosya içeren bir ZIP arşivi kullanıyor. Cyble, “Yürütülebilir dosya, kullanıcıları kandırmak ve kötü niyetli işlemlerini kolaylaştırmak için akıllıca bir arşiv dosyası olarak gizlendi” dedi.
LNK dosyası, Golang’dan C++ ile derlenmiş ikili dosyalara geçiş yapan PhantomCore arka kapısını çıkarmak ve yürütmek için komutlar içerir ve ayrıca komut ve kontrol (C&C) sunucusuyla iletişim kurmak için Boost.Beast kitaplığını içerir.
PhantomCore, genellikle LockBit ve Babuk fidye yazılımını içeren yükleri dağıtmadan veya ele geçirilen sistemde ek komutlar çalıştırmadan önce kurbanın bilgilerini topluyor.
Head Mare, ilk erişim ve kötü amaçlı yükler sağlamak için CVE-2023-38831 WinRAR güvenlik açığı gibi güvenlik açıklarından yararlanarak Rusya ve Beyaz Rusya’yı hedef aldı. Grup, kurbanlardan sıklıkla fidye talep etmesiyle diğer hacktivistlerden farklılaşıyor.
Ayrıca okuyun: Yeni Rus Tehdit Grubu Z-Pentest, Enerji Sistemi Kontrollerini Hedefliyor
Head Mare’nin Son Kampanyası
Cyble, son kampanyada “adlı bir ZIP arşivi keşfetti”Belge.Zip“.zip” dosya uzantısı olarak kamufle edilmiş yürütülebilir bir dosya olan kötü amaçlı bir LNK dosyası içeriyordu (“Doküman.zip”) olarak tanımlandı PhantomCoreve bozuk bir yem PDF’si.
ZIP arşivi “Doküman.zip,” dosya paylaşım sitesinden indirildi dosya aktarımı[.]io/data-package/AiveGg6u/downloadCyble, muhtemelen meşru görünmek için tasarlanmış bir sosyal mühendislik temasıyla, “kurbana spam e-posta yoluyla iletildiğinden şüpheleniliyor” dedi. Cyble, arşivdeki tüm dosyaların Rusça olduğunu belirtti.
Çalıştırıldıktan sonra LNK dosyası, “Doc.Zip” arşivini “dosyaya çıkaran bir PowerShell komutunu çalıştırır.C:/ProgramVerileri” dizinini açar ve cmd.exe’yi kullanarak “Doc.zip” dosyasını çalıştırır.
Çalıştırdıktan sonra Doc.zip dosyası, hem giriş hem de çıkış kodu sayfalarını OEM Rusça (Kiril) olarak ayarlar. SetConsoleCP Ve SetConsoleOutputCP Win32 API’leri. Ayrıca kurban makinenin yerel ayar dilini de “ru_RU.UTF-8Cyble, sistemi UTF-8 kodlamasıyla Rus yerel ayarını kullanacak şekilde yapılandırmak için “dedi.
Kötü amaçlı yazılım daha sonra 45.10.247 adresindeki C&C sunucusuna bağlanmaya çalışır.[.]152, “Boost.Beast/353” Kullanıcı Aracısı dizesini kullanarak. Başarılı bir bağlantı kurulduktan sonra kötü amaçlı yazılım, kurbanın genel IP adresi, Windows sürümü, kullanıcı adı ve diğer ayrıntılar gibi bilgilerini toplar ve bunları daha sonraki talimatları beklemek üzere bir C&C sunucusuna gönderir.
Cyble, “Ayrıca TA, kurbanın makinesinde komutları yürütebilir ve C&C sunucusundan ek yükler indirebilir” dedi. “Bu, onların güvenliği artırmalarına, daha fazla kötü amaçlı faaliyetler yürütmelerine veya belirli komutları ve yükleri dağıtarak saldırıyı genişletmelerine olanak tanıyor.”
Cyble blogunun tamamı MITRE ATT&CK tekniklerini ve 24 Uzlaşma Göstergesini (IoC) içeriyor ve araştırmacılar ayrıca kampanyayı tespit etmek için GitHub’da Yara ve Sigma kurallarını paylaştı.
İlgili