Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Rus Tehdit Aktörü Sahte İstekler Yoluyla NetSupport RAT ve BurnsRAT Sağlıyor
Prajeet Nair (@prajeetspeaks) •
3 Aralık 2024
Kaspersky, Mart 2023’ten bu yana Rus perakendecileri ve hizmet işletmelerini hedef alan bir kötü amaçlı yazılım kampanyasının, uzaktan erişim araçlarını dağıtmayı ve bilgi hırsızı kötü amaçlı yazılım yüklemeyi hedeflediği konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Kaspersky, 1931 tarihli Sovyet hiciv romanı “Küçük Altın Buzağı”da dolandırıcıların kurduğu sahte bir organizasyondan esinlenerek kampanyaya “Boynuzlar ve Toynaklar” adını veriyor. Operasyon, NetSupport RAT ve BurnsRAT sağlamak için Rusya genelinde 1.000’den fazla kurbanı hedef aldı.
Bu kimlik avı e-postaları, “Fiyat ve teklif talebi” veya “Talep mektubu” gibi güvenilir görünecek şekilde tasarlanmış dosya adlarıyla, satın alma talepleri veya para iadesi talepleri gibi meşru yazışmalar gibi davranır. .
Kimlik avı e-postası kötü amaçlı komut dosyaları yürütüldükten sonra, genellikle NetSupport RAT veya BurnsRAT olarak silahlandırılan NetSupport Manager’ı yükler ve saldırganlara virüs bulaşmış sistemlere uzaktan erişim ve kontrol sağlar. Bu saldırıların nihai amacı Truva atlarının erişiminden yararlanarak Rhadamanthys ve Meduza gibi hırsız kötü amaçlı yazılımları dağıtmaktır.
İlk Horns&Hooves saldırıları, kötü amaçlı yazılımların yanı sıra PNG dosyaları gibi sahte belgeleri indiren HTA komut dosyalarını kullanıyordu. Satın alma tablolarının ekran görüntüleri veya anlamsız oluşturulmuş metinler de dahil olmak üzere bu tuzaklar, komut dosyaları yükleri yüklerken kurbanların dikkatini dağıtıyor. Daha sonraki varyantlar, JavaScript dosyalarını dağıttı ve kötü amaçlı BAT komut dosyaları ve gizlenmiş sahte belgeler de dahil olmak üzere ek bileşenleri indiren aracı komut dosyalarını kullanıma sundu.
Kampanyanın ilk aşamalarındaki bir örnekte, saldırganlar bir HTML Uygulama dosyası kullandılar; yürütüldüğünde, Windows için curl yardımcı programını kullanarak uzak bir sunucudan sahte bir PNG görüntüsü indirdiler. Ancak görüntü alınırken HTA dosyası alındı ve başka bir komut dosyası çalıştırıldı. bat_install.batBITSAdmin komut satırı aracını kullanarak farklı bir sunucudan. Bu komut dosyası, saldırganlar tarafından kontrol edilen bir komuta ve kontrol sunucusuyla bağlantı kuran NetSupport RAT kötü amaçlı yazılımı da dahil olmak üzere ek kötü amaçlı dosyalar indirdi.
Yükler, aşağıdaki gibi göze çarpmayan dizinlerde saklanır: %APPDATA%VCRuntimeSyncotomatik çalıştırma kayıt defteri girişleriyle kalıcılığı garanti eder.
Uzaktan Manipülatör Sisteminin bir çeşidi olan BurnsRAT, kötü amaçlı yazılım cephaneliğine gelişmiş bir eklentidir. DLL yandan yükleme tekniği aracılığıyla sunulan saldırganlar, uzak masaüstü bağlantıları kurabilir, komutları yürütebilir ve dosya aktarabilir.
Kötü amaçlı yazılım, C2 sunucularıyla güvenli iletişim için RC4 gibi algoritmalar kullanarak verileri dışarı sızmadan önce şifreliyor.