2022 itibarıyla Microsoft Office Suite’in bilgisayar korsanları tarafından kötü amaçlı yazılım yaymak için en çok istismar edilen araç seti olmaya devam ettiği göz önüne alındığında, Konni RAT’ın geri dönüşü ve son bulgular sürpriz olmamalı.
FortiGuard Laboratuvarlarındaki siber güvenlik araştırmacıları, kötü amaçlı makrolar içeren Word belgeleri aracılığıyla Windows sistemlerini hedef alan ‘Konni’ adlı yeni bir kötü amaçlı yazılım kampanyası keşfetti. Şüphelenmeyen kullanıcılar belgeyi açtığında veya indirdiğinde, Konni adı verilen bir uzaktan erişim truva atı (RAT) çalıştırılıyor.
Konni RAT, oturum açma kimlik bilgilerinin çalınması, uzaktan komut yürütme ve yükseltilmiş ayrıcalıklarla komutları yürütme yeteneği gibi yeteneklere sahip, kendini savunma mekanizmalarını içeren gelişmiş bir kötü amaçlı yazılımdır. Ayrıca, dosyaları indirebilir ve yükleyebilir.
Konni RAT’ın daha önce Rusya’yı hedeflemesiyle bilindiğini belirtmekte fayda var. Özellikle, Ağustos 2017’deki füze testlerinin ardından Kuzey Kore’ye karşı kullanılan kötü amaçlı yazılımın aynısıydı.
Son kampanyaya göre, kötü amaçlı Word belgesi Rusça dilinde yazılıyor ve kullanıcıları kandırarak bunları açmaları için faturalar, sözleşmeler veya iş başvuruları gibi meşru bir dosya olarak dağıtılıyor.
Belge Eylül 2023’te oluşturulmuş olsa da FortiGuard Labs’ın dahili telemetrisi, kampanyanın C2 sunucusunun aktif kaldığını gösteriyor. Bu, kampanyanın devam ettiği ve yeni kurbanların enfekte olduğu anlamına geliyor. Bu sürekli faaliyet, Konni kampanyasının ısrarcı doğasını göstermektedir.
Araştırmacılar, ‘gelişmiş bir tehdit aktörünün’ bir Word belgesinde ‘toplu komut dosyaları ve DLL dosyalarını’ kullanarak gelişmiş bir araç seti kullandığını gözlemledi. Yük, muhtemelen aktörün ayrıcalıklı komutları yürütmesine izin vermek için bir C2 sunucusuyla UAC bypass şifreli iletişim içeriyor
Word belgesini açtıktan sonra, bir komut istemi kullanıcıdan içeriği etkinleştirmesini ister ve bir VBA komut dosyasını tetikler. Bu komut dosyası, bir ‘check.bat’ toplu komut dosyasının indirilmesini ve yürütülmesini başlatır. ‘check.bat’ betiği, uzak bağlantı oturumunun varlığını doğrulamak, Windows işletim sistemi sürümünü belirlemek ve sistem mimarisini kontrol etmek dahil olmak üzere çeşitli kontroller gerçekleştirir.
Daha sonra komut dosyası, UAC’yi (Kullanıcı Hesabı Denetimi) atlayarak ‘wpns.dll’ kitaplığını çalıştırır ve yükseltilmiş ayrıcalıklara sahip bir komut başlatmak için meşru Windows yardımcı programı ‘wusa.exe’yi kullanır.
Daha sonra, devralınan yükseltilmiş ayrıcalıklarla ‘netpp.bat’ toplu komut dosyasını çalıştırır. Betik ‘netpp’ hizmetini durdurur, gerekli dosyaları ‘System32’ dizinine kopyalar ve sistem başlangıcında otomatik olarak başlayan ‘netpp’ adında bir hizmet oluşturur. Kötü amaçlı yazılım, kayıt defteri girişlerini ekledikten ve “netpp” hizmetini başlattıktan sonra yürütülmeye başlar.
FortiGuard Labs blog gönderisine göre Konni RAT, virüslü cihazlarda bilgi çıkarabiliyor ve komutları çalıştırabiliyor. Kurulduktan sonra saldırganların hassas verileri çalmak, ek kötü amaçlı yazılım dağıtmak veya yetkisiz faaliyetler gerçekleştirmek için virüslü sistemi uzaktan kontrol etmesine olanak tanır.
Kötü amaçlı yazılım, sistemdeki etkin işlemlerin bir listesini getirir ve sıkıştırma ve şifreleme işlemini gerçekleştirdikten sonra verileri C2 sunucusuna gönderir. Ayrıca bir HTTP isteği göndererek C2 sunucusundan bir veri veya komut indirir. Bir yanıt aldığında verileri çıkarır ve şifresini çözer, geçici bir dosya olarak saklar ve yükü genişletmek ve başka eylemler başlatmak için cmd komutunu çalıştırır.
Microsoft Office Suite’in 2022 itibarıyla kötü amaçlı yazılım yaymak için bilgisayar korsanları tarafından en çok kullanılan araç seti olmaya devam ettiği göz önüne alındığında, en son bulgular sürpriz olmamalı.
Konni kampanyasının dünya çapında, özellikle Orta Doğu ve Kuzey Afrika’daki bireyleri ve kuruluşları hedef aldığı gözlemlendi. Kendinizi Konni kampanyasından ve benzeri kötü amaçlı yazılım saldırılarından korumak için, bilinmeyen gönderenlerden gelen e-posta eklerini veya şüpheli konu satırlarına sahip e-postaları açmaktan kaçının.
Ayrıca, Word belgelerindeki makroları devre dışı bırakın ve yalnızca belgenin kaynağını ve amacını bildiğinizde etkinleştirin. Son olarak, bilinen güvenlik açıklarını gidermek için işletim sisteminizin ve uygulamalarınızın en son sürümlere güncellendiğinden emin olun.
İLGİLİ MAKALELER
- LinkedIn Kimlik Avı Dolandırıcılığı Microsoft Hesaplarını Çalıyor
- Bilgisayar korsanları 17 yıllık Microsoft Word kusurunu araştırıyor
- NodeStealer 2.0, Facebook Hesaplarını Hacklemek İçin ‘Microsoft’ Gibi Görünüyor
- 2021’de güvenlik açıklarının çoğunu Google, Microsoft ve Oracle oluşturdu
- VirusTotal, Bilgisayar Korsanlarının Kötü Amaçlı Yazılım Yaymak İçin En Çok Kullandığı Uygulamaları Ortaya Çıkarıyor