Araştırmacılar, tehdit aktörlerinin, gönderilerin içe veya dışa aktarımıyla ilgili olduğu iddia edilen e-postalardaki UUEncoding (UUE) dosya ekleri içerisinde Remcos RAT kötü amaçlı yazılımını dağıttığı yeni bir kimlik avı kampanyası keşfetti.
UUEncoding (UUE) dosya ekleri, hem Windows hem de MacOS’u destekleyen özel ve platformlar arası bir arşiv yardımcı programı olan Power Archiver ile sıkıştırılır.
Remcos RAT Kötü Amaçlı Yazılımını Dağıtmak İçin UUEncoding (UUE) Dosyalarının Kullanımı
AhnLab araştırmacıları, kampanyanın arkasındaki tehdit aktörlerinin, ikili verileri düz metin biçiminde kodlamak için tasarlanmış .UUE uzantılı UUEncoding dosyalarını kullandığını keşfetti. Bu dosya formatları e-posta veya Usenet mesajlarına eklenmeye uygundur. Kötü amaçlı .UUE dosyaları, kimlik avı e-postalarına eklenen bir VBS komut dosyasını kodlar. Tehdit aktörleri, algılamayı atlatmak amacıyla dosya formatı ve kodlama tekniğinden yararlanmış gibi görünüyor.
VBS betiğinin kodu çözüldüğünde karartılır ve araştırmacıların analiz etmesini zorlaştırır. Betik, bir PowerShell betiğini %Temp% dizinine kaydeder ve çalıştırır. Çalışan komut dosyası daha sonra ek bir PowerShell komut dosyasını çalıştıran Haartoppens.Eft dosyasını indirir. Bu komut dosyası da gizlenmiştir ve wab.exe işlemine bir kabuk kodu yüklemek için tasarlanmıştır.
Kabuk kodu, etkilenen sisteme bir kayıt defteri anahtarı ekleyerek kalıcılığını korur ve ardından ek talimatlar yüklemek için uzak bir C&C sunucusuna erişir. Talimatlar sonuçta, virüslü sistemlerde yürütülmek üzere Remcos RAT kötü amaçlı yazılımını indiriyor.
Remcos RAT kötü amaçlı yazılımı
Remcos RAT, virüslü sistemlerden sistem bilgilerini toplar ve keylogging verilerini %AppData% dizininde saklar. Kötü amaçlı yazılım daha sonra bu verileri DuckDNS alanı aracılığıyla barındırılan uzaktan komuta ve kontrol (C&C) sunucusuna gönderir.
Remcos, meşru bir araç olarak tanıtılan ancak çok sayıda tehdit aktörü kampanyalarında gözlemlenen ticari bir uzaktan erişim aracıdır (RAT). Remcos’un başarılı bir şekilde yüklenmesi, hedeflenen sistemlerde bir arka kapı açarak tam kontrole olanak tanır.
Araştırmacılar bu kampanyanın tespit edilmesine ve durdurulmasına yardımcı olmak için aşağıdaki göstergeleri paylaştı:
IOC’ler (Uzlaşma Göstergeleri)
- b066e5f4a0f2809924becfffa62ddd3b (Invoice_order_new.uue)
- 7e6ca4b3c4d1158f5e92f55fa9742601 (Invoice_order_new.vbs)
- fd14369743f0ccd3feaacca94d29a2b1 (Talehmmedes.txt)
- eaec85388bfaa2cffbfeae5a497124f0 (mtzDpHLetMLypaaA173.bin)
Dosya Algılama
- İndirici/VBS.Agent (2024.05.17.01)
- Veri/BIN.Kodlanmış (2024.05.24.00)
C&C (Komuta ve Kontrol) Sunucuları
- frabyst44habvous1.duckdns[.]kuruluş:2980:0
- frabyst44habvous1.duckdns[.]kuruluş:2981:1
- frabyst44habvous2.duckdns[.]kuruluş:2980:0
Araştırmacılar ayrıca benzer kimlik avı kampanyalarından kaçınmak için aşağıdaki genel önerileri de paylaştılar:
- Bilinmeyen kaynaklardan gelen e-postalara erişmekten kaçının.
- İndirilen ek dosyalara erişirken makro komutlarını çalıştırmaktan veya etkinleştirmekten kaçının. Daha düşük düzeyler herhangi bir bildirim görüntülemeden makro komutlarını otomatik olarak çalıştırabildiğinden, kullanıcılar programları en yüksek güvenlik düzeylerine ayarlayabilir.
- Kötü amaçlı yazılımdan koruma motorlarını en son sürümlerine güncelleyin.
UUE dosya formatı, bir araştırmacının daha önce ana Python programında bir UUEncode güvenlik açığını keşfetmesiyle, güvenlik araçları tarafından tespit edilmekten kolayca kaçma yeteneği nedeniyle daha önce çeşitli kötü amaçlı kampanyalarda kullanılmıştı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.