Saldırganlar, e -posta filtrelerini aşmak ve sürekli değişen siber tehdit dünyasında kimlik avı yüklerini başarıyla göndermek için gelişmiş gizleme tekniklerini, bu tür çok dilli dosyaları kullanıyorlar.
Aynı anda birden çok dosya formatı olarak yorumlanabilen bu çok dilli dosyalar, güvenlik tarayıcılarına iyi huylu görünerek kötü amaçlı içeriğin algılamadan kaçmasına izin verir.
Bu değişim, rakipler gizli ve yürütme verimlilikleri için Windows kısayolu (LNK) dosyaları gibi alternatif formatları tercih ederek geleneksel kötü niyetli belge dağıtımından bir ayrılış yapar.
Aynı zamanda, hacktivist gruplar ideolojik kampanyalardan casusluk ve finansal sömürü de dahil olmak üzere daha geleneksel yasadışı arayışlara doğru ilerlemekte ve operasyonel sofistike olmalarını sağlamak için ileri araçları ve metodolojileri entegre etmektedir.
Kimlik avında gelişen taktikler
Yakın tarihli bir kampanya, rakiplerin kimlik avı mesajlarını yaymak için tehlikeye atılmış organizasyonel e -posta adreslerinden yararlandığı bu taktikleri örneklendiriyor.
Böylece e-postalar, “06.26.2025 tarihli 391-44 tarihli TTRA TTRA No. 391-44” (26 Haziran 2025 tarihli 391-44) ve “Antlaşma RN83-371” (sözleşme ph83-371) gibi legitemate iş belgelerini taklit eden konu satırlarını içeriyordu.
PE32+ Dinamik Bağlantı Kütüphaneleri (DLL’ler) olarak ikiye katlanan .ZIP Polyglot dosyaları eklenmiştir.
Bu Polyglots, bir tuzak belgesini ve bir LNK dosyası içeren gömülü bir fermuar arşivini gizledi.
Yürütme üzerine, LNK dosyası önce geçerli dizinde çok dilli dosyayı bulmak için bir dizi başlatır, daha sonra % UserProfile % ve % Temp % dizinlerinde tekrarlayan.
Daha sonra, dışa aktarılan giriş noktası işlevini hedefleyen Rundll32.exe aracılığıyla çok dilli çağırır.
Daha sonra, spesifik bayt ofsetlerini okuyarak (örneğin, 1.107.968 bayt atlayarak ve sonraki 3.280.549 bayt alarak) bir tuzak dosyası çıkarır ve meşruiyet yanılsamasını korumak için CMD /C Start kullanılarak açmadan önce %sıcaklık %tasarruf eder.
Bir örnek LNK dosyasından, “договор_рн83_37_изенения gibi bir örnek komutu.
Phantomremote arka kapı
Bu kötü amaçlı yazılım sunumunun merkezinde, C ++ ‘da geliştirilen ve kötü niyetli mantığını DLLMain işlevine yerleştiren bir PE32+ DLL olan Phantomremote Backdoor bulunur.
Giriş noktası dışa aktarma, küresel bir değişken üzerinde bir kontrol içerir; 1 olarak ayarlanırsa, potansiyel olarak kaçınan analiz için 5 saniyelik uyku () çağrıları ile sonsuz bir döngü girer.
Phantomremote System Intelligence’ı toplayarak başlar: CocreatEguid () (başarısızlıkta “bilinmeyen” i temeli) aracılığıyla bir GUID oluşturur, GetComputernameW () kullanarak bilgisayar adını alır ve GetComputernameExw (ComputerNamedNSomain) aracılığıyla alan adını alır.
İndirilen dosyaları depolamak için örnekler arasında “Yandaxcloud” veya “MicrosoftAppStore” adlı %ProgramData’da bir çalışma dizini oluşturur.
Komut ve Kontrol (C2) sunucusu ile iletişim, HTTP üzerinden gerçekleşir ve “91.239.148 gibi URL’lere bir GET isteği ile başlar.[.]21/anket? İd = & hostname = & domain = ”, toplanan verileri“ Yandexcloud/1.0 ”veya“ MicrosoftAppStore/2001.0 ”gibi kullanıcı ajanı başlıkları altında aktararak.
Arka kapı işlemleri “CMD:
Yetkilendirme sonrası, yanıtlar yazı yoluyla “/sonuç” uç noktalarına gönderilir, başarı veya başarısızlık detaylandırılır (örneğin, “Başarılı İndir: %ProgramData %\ Yandexcloud” veya “İndirme Başarısız”).
Döngüler arasında, kötü amaçlı yazılım başarıda 10 saniye veya başarısızlıkta 1 saniye uyur, kalıcılığı ve düşük görünürlüğü korur.
Rapora göre, bu arka kapının modüler tasarımı, C2’den ek yürütülebilir ürünlerin yüklenmesini, veri açığa çıkması veya yanal hareket gibi tehditleri yükseltmesini sağlar.
Bu kampanyalar, çok dilli anomalilere karşı artan e-posta ağ geçidi korumalarına ve LNK ile indüklenen yürütmeler için davranışsal analiz ihtiyacının altını çizmektedir.
Güvenlik ekipleri, belirli kullanıcı ajanları ile Rundll32 ve HTTP trafiği üzerinden anormal DLL yüklerini izlemelidir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Dosya/IP | MD5 | SHA1 | SHA256 |
|---|---|---|---|---|
| Fantomremot | Anket_rn83_37_manks.zip | 75A26A138783032E18DCFC713B1B34C | 04d364d7c98379352e89757d62521271cb410cb | ED9B24A77A74CD34C96B30F8DE794FE85B1D1F188F51BD7D60CC81A86728 |
| Fantomremot | Anket_rn83_37_manks.zip | 7E52BE17FD33281C70FEC14805113A8 | 6942E07E7D08781CBA571211A08E779838E72E9A | 204544fc8a8cac64b07825a7bd58c54cb3e605707e2d72206ac23a165bfe1e |
| Fantomremot | Tanıtım_tnoe_tn №391-44_ot_26.06.2025.zip | be990a49fa1e3789bc5c55961038029 | 851157c01da6e85fa94ded7f42cab19aa8528d6 | 01f12bb3f4359fae1138a194237914fcdbf9e47280428a765ad820f399be |
| Fantomremot | (İsimsiz) | B586cf958334415777719bf512304fbd | 77B7E726BA6CF6D9A6463A62797C97612018066 | 4C78D6BBA282AAFF0AAB749CFA8A28E432F7CBF9C61DEC8DE8F4800FD27E0314 |
| Fantomremot | Anlaşma_rn83_mannia.zip | 65967d019076e700deb20dcbc989c99c | 49a18dc1d8f84394d3373481dbac89d11e373dbd | 413c9e2963b8cca256d3960285854614e2f2e78dba023713b3dd67af369d5d08 |
| Fantomremot | (İsimsiz) | B49A7EF89CFB317A540996C3425FCDC2 | D9A4FD39A55CD20D55E00D3CACE3F637B8888213 | B683235791e3106971269259026e05fdc2a4008f703f2a4d32642877e57429a |
| Lnk | Anket_rn83_37_mances.pdf.lnk | 69837a1be374f3bb9556cdc794389 | dc149c042747ddf4f58c7ac6bf23e6a02ce1fc77 | e3e3f7d9abb969690468d8e32f36818e1939c8122dcc7329a1b7f6b700b2 |
| Lnk | Tanıtım_tnoe_tn_ No. 391-44_ot_26.06.2025.xls.lnk | 8845B954669B5C7AC712ECF1E0179C | 2A14A9DDD1032479AB5BFF8ED945EF9A2A2BD4999D | 4D4304D7AD1A8D0DACB300739D4DCAADE299B28F8BE3F171628A7358720CA6C5 |
| Lnk | Anket_rn83_mancies.pdf.lnk | 08A92BA1D1D9E5C498DCAF53AF7CD071 | C52D70B92E41DB70D4CA342C8DC32eff7883C861 | A9324a1fa529e5c115232cbc60330d37cef5c20860bafc63b11e14d1e75697c |
| Yem | %Temp%\ secight_rn83_37_ değişiklikler.pdf | 1DFF0BCF719F3509C597A8955E49AF38 | 4ce5e6e0b21323409db8cd8ed2a7ed251656d18a | 47262571A87E7023BD6AFD376560E9CFDC94BAFAAAAAE72F36B6AA9FB6E769B9C |
| Yem | %Temp%\ secate_rn83_ değişimleri.pdf | 1DFF0BCF719F3509C597A8955E49AF38 | 4ce5e6e0b21323409db8cd8ed2a7ed251656d18a | 47262571A87E7023BD6AFD376560E9CFDC94BAFAAAAAE72F36B6AA9FB6E769B9C |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.