Bilgisayar korsanlarının sıklıkla kullandığı EXE ve DOCX dosya formatları, meşru gibi kolayca gizlenebilen en yaygın kullanılan dosya türleri arasında yer aldığından dolayı sıklıkla tercih ediliyor.
EXE dosyaları, saldırganlara hackledikleri sistem üzerinde tam kontrol sağlayan fidye yazılımları ve Truva atları gibi çeşitli kötü amaçlı yazılım biçimlerini iletmek için kullanılabilir.
Öte yandan, DOCX Dosya biçimi, saldırganlar tarafından Microsoft Office yazılımlarında bulunan güvenlik açıklarından yararlanan kötü amaçlı makroları iletirken yaygın olarak kullanılır.
Bu iki dosya türü, kullanıcıları onları açmaya teşvik etmek için sıklıkla kullanılır ve kötü amaçlı yazılımların sistemlerine sızmasına olanak tanır.
JPCert’teki siber güvenlik araştırmacıları yakın zamanda Kimsuky bilgisayar korsanlarının EXE ve DOCX dosyalarını kullanarak kuruluşlara saldırdığını keşfetti.
Kimsuky Hacker’ları Kuruluşlara Saldırıyor
Kimsuky grubu hacker’ları, JPCERT/CC tarafından Mart 2024’te tespit edilen bir saldırıyla Japon kuruluşlarını hedef aldı.
Saldırganlar, kimlik avı e-postaları yoluyla güvenlik ve diplomatik kurumlardan gelen iletişimlermiş gibi görünen çift uzantılı dosyaların zip eklerini kullandılar.
Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Gerçek uzantılarını gizlemek için çok sayıda boşluk kullanılarak yeniden adlandırılan bu dosyalar, kişinin ana EXE dosyasını açması durumunda kurbanın bilgisayarına bulaşıyordu.
Aşağıda, dosyalardan formatlarıyla birlikte bahsettik, ancak tüm dosya adları atlanmıştır:
- [omitted].docx[a large number of spaces].exe
- [omitted].docx[a large number of spaces].docx
- [omitted].docx[a large number of spaces].docx
Bu gelişmiş yaklaşım, tehdit aktörlerinin kurumsal ağlara sızmak ve güvenlik önlemlerini aşmak için giderek artan şekilde yeni teknikler kullandığını ortaya koyuyor.
.webp)
Bu kötü amaçlı EXE dosyası yürütüldüğünde, etkili olur ve döngüsel bir enfeksiyon başlatır. Harici olarak yapılmış bir PowerShell betiğini alıp çalıştıran bir VBS dosyasını indirir ve çalıştırır.
Aynı VBS dosyası, gizli dosyanın her sistem başlangıcında otomatik olarak çalışmasını sağlamak için Kayıt Defteri Çalıştır anahtarını yapılandırarak kalıcılığa da neden olur.
Tehdit aktörleri, çeşitli betik dilleri kullanarak, sistemi manipüle ederek istismar edilen sistem üzerindeki hakimiyetlerini sürdürmek için bu gelişmiş yöntemi kullanırlar.
İndirilen PowerShell betiği sistem verilerini, işlem listelerini, ağ ayrıntılarını, belirli kullanıcı klasörü içeriklerini ve hesap bilgilerini toplar.
Toplanan bu veriler, yürütme ortamının bir deneme ortamı mı yoksa analiz sistemi mi olduğunu belirlemek için önceden tanımlanmış bir URL’ye gönderilir.
Daha sonra, betik genel bir dizinde başka bir VBS dosyası oluşturur ve onu çalıştırır; bu da daha fazla PowerShell kodu indirir ve belirli parametrelerle bir InfoKey fonksiyonunu çağırır.
Saldırgan, bunu yaparak tespit edilmekten kaçınmaya ve tehdit aktörünün etkilenen bilgisayarda uzun süre kalmasını sağlamaya çalışır.
Saldırı zinciri, VBS veya PowerShell komut dosyalarını indirip çalıştıran bir EXE dosyası ve ardından bir keylogger içeriyor.
Bu tür keylogger’lar, uzak sunuculara gönderilmeden ve yerel olarak depolanmadan önce tüm tuş vuruşlarını ve panodaki verileri kaydeder.
Grubun CHM formatlı kötü amaçlı yazılımlar gibi değişen stratejileri, gelişmiş kalıcı tehditlerle (APT’ler) mücadele etmenin giderek daha önemli hale geldiğini gösteriyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo