Siber güvenlik araştırmacıları, tehlikeli kötü amaçlı yazılım yükleri sunmak için JScript kullanan sofistike çok aşamalı bir saldırı zincirini ortaya çıkardılar.
Karmaşık bir gizleme tekniği kullanan saldırı, nihayetinde kurbanın coğrafi konumuna bağlı olarak Xworm veya Rhadamanthys kötü amaçlı yazılımlar sunar.
Bu yükleyici, JScript ile başlayan titizlikle hazırlanmış bir yürütme akışı, PowerShell’e geçiş ve eventsiz kötü amaçlı yazılımın teslimatında doruğa ulaşır.
.png
)
Saldırı genellikle planlanan görevler veya sahte captchas içeren tıklama saldırıları yoluyla başlar.
Mağdurlar, PowerShell komutları üreten gizlenmiş JScript kodunu yürüten bir MSHTA.EXE komutu ile hedeflenir.
Bu teknik, saldırganların kötü amaçlı kod yürütmek için meşru pencereler bileşenlerinden yararlanarak geleneksel güvenlik önlemlerini atlamalarını sağlar.
İlk enfeksiyon vektörü, saldırganların sistem güven ilişkilerini kullanma konusundaki sofistike olduğunu göstermektedir.
Yürütme üzerine, JScript yükleyici, rastgele sipariş edilen dizi öğelerini tutarlı bir komut dosyasına ustaca yeniden birleştirerek bir PowerShell komutu oluşturur.
Bu komut dosyası daha sonra kurbanın ABD’de olup olmadığını belirlemek için harici bir API sorgulayarak coğrafi konum kontrolleri gerçekleştirir ve saldırı akışını buna göre yönlendirir.
Sophos araştırmacıları, bu coğrafi işleme teslimatını istenmeyen maruziyeti azaltırken belirli bölgeleri hedeflemek için kasıtlı bir girişim olarak tanımladılar.
Araştırmacılar, bu konum tabanlı yük sunumunun hedeflenen kötü amaçlı yazılım dağıtım tekniklerinde bir evrimi temsil ettiğini ve tehdit aktörlerinin coğrafi düşüncelere göre saldırıları özelleştirmesine izin verdiğini belirtti.
Kötü amaçlı yazılım, rakip süreçlerin sonlandırılması ve çeşitli sistem dizinlerinden potansiyel kanıt dosyalarının kaldırılması da dahil olmak üzere kapsamlı anti-forensik önlemler uygular.
Güvenlik çözümleri tarafından tespitten kaçınmak için düşük bir profil korurken kalıcı enfeksiyon yolları oluşturur.
Yürütme Akışı Analizi
Bu kötü amaçlı yazılımın en ilgi çekici yönü, sofistike yürütme akışıdır. İlk JScript yürütülmesinden sonra, yükleyici çok aşamalı bir bozulma işlemi başlatır.
.webp)
PowerShell kodunun bir örneği karmaşıklığını ortaya koyuyor:-
# Define the execution block
#{{E}={
# Define the type and method names
${T} = [char[]]@('A', '.', 'B')
${M} = [char[]]@('C')
# Get the type and method from the loaded assembly
${Y} = $I.GetType((${T} -join ''))
${N} = ${Y}.GetMethod((${M} -join ''))Bu kod parçası, kötü amaçlı yazılımın, tespitten kaçınırken kötü amaçlı bileşenleri dinamik olarak yüklemek için PowerShell yansımasını nasıl kullandığını gösterir.
Yükleyici, ondalık kodlu verileri yürütülebilir koda dönüştürür, bu da daha sonra regsvcs.exe gibi meşru Windows işlemlerine enjekte edilir.
Son yükler coğrafi konuma göre farklılık gösterir. ABD merkezli kurbanlara, DDOS saldırıları ve kripto para birimi pano kaçırma yapabilen bir uzaktan erişim Truva atı olan Xworm’u alıyor.
ABD olmayan kurbanlara, kripto para birimi cüzdan tohum ifadelerini tanımlamak için AI destekli görüntü tanıma kullanan sofistike bir C ++ info-stealer olan Rhadamanthys ile enfekte olmuştur.
Bu analiz, tespiti en aza indirirken enfeksiyon başarısını en üst düzeye çıkarmak için sofistike gizlemeyi hedeflenen dağıtım mekanizmalarıyla harmanlayan modern kötü amaçlı yazılım dağıtım tekniklerinin evrimini vurgulamaktadır.
Güvenlik uzmanlarına, şüpheli PowerShell yürütme zincirlerini ve filessiz enjeksiyon tekniklerini tanımlamaya odaklanan sağlam algılama mekanizmaları uygulamaları tavsiye edilir.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial