Siber güvenlik araştırmacıları, Xworm Remote Access Trojan’ı (RAT) sunmak için karmaşık bir şekilde hazırlanmış PowerShell yüklerini dağıtarak kötü şöhretli Kimuky Gelişmiş Kalıcı Tehdit (APT) grubu tarafından düzenlenen sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Bu operasyon, grubun gelişmiş taktiklerini, kodlanmış komut dosyalarını ve çok aşamalı saldırı zincirlerinden yararlanarak, sistemlere sızmak, geleneksel güvenlik mekanizmalarını atlamak ve tehlikeye atılan ağlar üzerinde gizli uzaktan kumanda oluşturmak için sergiliyor.
Stealth ve şaşkınlığı ile karakterize edilen kampanya, veri açığa çıkma ve kalıcı erişim niyetiyle kurbanları hedefliyor, genellikle filessiz yürütme ve kara yaşam-off-off ikili ve senaryoları (LOLBA’lar) teknikleri yoluyla tespitten kaçınıyor.
.png
)
Gelişmiş çok aşamalı kötü amaçlı yazılım kampanyası
Saldırı, kod çözüldükten sonra karmaşık bir kötü niyetli aktiviteler dizisini ortaya çıkaran ilk vektörler olarak hareket eden baz 64 kodlu PowerShell komut dosyalarıyla başlar.
Rapora göre, bu komut dosyaları RAR arşivleri, yürütülebilir ikili dosyalar dahil olmak üzere çeşitli dosyaları indirin orwartde.exeve tek bir kötü niyetli IP adresinden zararsız metin dosyaları olarak gizlenmiş ek PowerShell komut dosyaları.
Hem Kimuky’nin APT yükleri hem de Xworm sıçan bileşenleri, 185.235.128.114 ve 92.119.114.128 olarak tanımlanan IPS’den alınır ve aktif komuta ve kontrol (C2) iletişimi daha fazla yükleme ve hassas verileri ortaya çıkarmak için iletişime geçer.
Dikkate değer bir taktik, Win32 API’sını kullanarak terminal pencerelerini gizlemek için PowerShell içinde satır içi C# kodunun kullanımını içerir. ShowWindowkötü niyetli süreçlerin kullanıcılar için görünmez kalmasını sağlamak.
Ayrıca, kampanya, arka plan işlemleri gibi yükleri yürütürken, Decoy PDF dosyalarını dikkat dağıtmak gibi aldatıcı önlemler kullanıyor. eworvolt.exe Ve enwtsv.exebaşarılı bir şekilde dağıtım sağlamak veya farklı kötü amaçlı yazılım aşamalarını tetiklemek için genellikle birden çok kez çalıştırın.
Yük dağıtım taktikleri
Son aşama, savunma kaçakçılığıyla birlikte Windows etkinlik günlüğünü devre dışı bırakma gibi taktiklerin yanı sıra, Kalıcılığını korumak için inflowpolicy bypass ile komut dosyalarının dinamik olarak yeniden adlandırılmasını ve yürütülmesini içerir.
Saldırı zincirindeki diğer karmaşıklıklar, şöyle araçları kullanarak şifre korumalı arşivlerin çıkarılmasını içerir. UnRAR.exeardından çok aşamalı işlemleri senkronize etmek için gecikmiş yürütme.
Çıkarılan içerik, genellikle dosyalarda gizli yükler ov_er15z.txtuzaktan erişim, keyloglama veya bilgi hırsızlığının serbest bırakıldığı temel kötü niyetli niyetin kritik bir uzlaşma noktasını işaretleyerek çağırma ekspresyonu yoluyla yürütülür.
Bu kampanyanın gizlemeye, C2 iletişimi için standart olmayan veri kodlaması ve keşif ve yürütme için sistem ikili kullanımlarının kapsamlı kullanımı, Kimuky’nin yüksek değerli varlıkları hedeflemedeki operasyonlarının gelişen karmaşıklığını vurgulamaktadır, potansiyel olarak hipervizörleri kurbanların gerçek IP adreslerine RDP erişimi kazanmak için atar.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Değer |
|---|---|
| C2 IP Adresi | 185.235.128.114 |
| C2 IP Adresi | 92.119.114.128 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!