Hive0117 grubu, genel merkezleri Rusya, Kazakistan, Letonya ve Estonya’da bulunan enerji, bankacılık, ulaşım ve yazılım güvenliği sektörlerindeki önemli sektörlerde çalışan bireyleri hedef alan yeni bir kimlik avı kampanyası başlattı.
Bu grup, DarkWatchman olarak bilinen, keylogging, bilgi toplama ve ikincil yük dağıtım yeteneklerine sahip dosyasız kötü amaçlı yazılımı yaymasıyla biliniyor.
IBM X-Force, operasyonları yürütmek için Ukrayna’da devam eden krizle bağlantılı yeni ortaya çıkan düzenlemelerin kullanılması ve DarkWatchman kötü amaçlı yazılımının çeşitli işlevleri ve dosyasız doğası nedeniyle, Hive0117’nin bölge içi kuruluşlar ve kuruluşlar için bir tehlike oluşturmasının oldukça muhtemel olduğunu bildirmektedir. işletmeler.
Yeni Hive0117 Kimlik Avı Kampanyası
E-postalar insanların iş e-posta hesaplarına gönderiliyor ve kimlik avı yemi olarak Rus Silahlı Kuvvetleri’nde zorunlu askerlik için elektronik çağrı kullanılıyor.
Hive0117 ile bağlantılı aktörler, 10 Mayıs 2023 itibarıyla seferberlik emri gibi görünen konu satırlarına sahip Rusça e-postalar gönderdiler.
Cyber Security News ile paylaşılan bilgiye göre, “Gerçeklik açısından e-postalar, Rusya Savunma Bakanlığı’nın resmi armasının logolarının yanı sıra birden fazla resim içeriyor.”
“E-postanın makine çevirisi, Rus Silahlı Kuvvetlerine seferberliği çevreleyen rehberlikle ilgili o zamanki güncel mevzuata atıfları gösteriyor.”
E-postayı gönderen, Rusya Federasyonu Savunma Bakanlığı Askeri Komiserliği Ana Müdürlüğü’nün hayali bir kuruluşudur.
Bu e-posta arşiv dosyası ekleri, çalıştırıldığında Nisan 2022’de açıklanan Hive0117 kötü amaçlı yazılımına benzer şekilde çalışan DarkWatchman kötü amaçlı yazılımını yükleyen bir yürütülebilir dosya içerir.
İndirici dosyalar, dosyaları kendi kendine açılan arşiv (SFX) yükleyicisinin iki dosyayı döktüğü %TEMP% klasörüne indirir: bir JS dosyası ve onaltılık karakterlerden oluşan bir blok içeren bir dosya.
SFX dosyasının yolu girdi olarak kullanıldığında JS, SFX dosyası tarafından yürütülür. Blob, kodu çözüldüğünde bir keylogger uygulayan base64 kodlu bir PowerShell bloğu içeren şifrelenmiş veriler içerir ve JS dosyası, arka kapı görevi gören gizlenmiş kod içerir.
Kurulumda Rusça “Aşağıdaki yorum SFX komut dosyası komutları içermektedir” yazan bir not vardır.
Araştırmacılar, “JavaScript arka kapısı, Windows Komut Dosyası Ana Bilgisayarı (WSH) ortamı wscript.exe kullanılarak yürütülür ve diske yazmayı ve anti-virüs yazılımı tarafından algılanmayı önlemek amacıyla yapılandırma ve diğer veriler için bir depolama mekanizması olarak Windows Kayıt Defteri’ni kullanır.” açıklamak.
Hive0117 her başladığında, bir UID dizesi oluşturulur ve çeşitli işlevler için kullanılır. Arka kapı, UID ile adlandırılan ve sanki bir yönetici kullanıcı tarafından başlatılmış gibi çalışma hakları yükseltilmiş olan zamanlanmış bir iş üretir.
Arka kapı, keylogger’ı içeren dosyayı arar, dosyayı açar, içindeki verileri okur ve kodunu çözmek için XOR işlemlerini kullanır.
DarkWatchman kötü amaçlı yazılımının dosyasız doğasında biraz daha gelişmiş yetenekler görülebilir. Bu nedenle, belirli bir bölgedeki varlıklar yüksek düzeyde savunma koruması sağlamalıdır.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.