Kullanıcılara Saldırmak İçin Metin Dizileriyle Zincirlenmiş USB Kötü Amaçlı Yazılım


Yasal Web Sitelerindeki Metin Dizileriyle Zincirlenmiş USB Kötü Amaçlı Yazılım Kullanıcılara Saldırıyor

Çeşitli araç ve taktiklerin gelişmesine rağmen, tehdit aktörleri kurbanlara kötü niyetli amaçlarla saldırmak için hâlâ geleneksel yaklaşımı tercih ediyor. Bu tür tehdit aktörlerinden biri, kurbanları istismar etmek için USB cihazlarını kullanan UNC4990’dır. UNC4990, finansal motivasyona sahip bir tehdit aktörüdür ve 2020’den bu yana kampanyalar yürütmektedir.

Bu tehdit aktörünün faaliyetlerinde sürekli bir gelişme yaşandı. Bununla birlikte son zamanlardaki taktikler GitHub, GitLab, Ars Technica ve Vimeo gibi popüler ve meşru web sitelerinin kullanımını içeriyordu.

Ayrıca tehdit aktörü EMPTYSPACE indiricisini ve QUIETBOARD arka kapısını kullanıyor. EMPTYSPACE, komuta ve kontrol sunucularından sunulan herhangi bir veri yükünü yürütme kapasitesine sahiptir ve QUIETBOARD ayrıca EMPTYSPACE kullanılarak sunulur.

Belge

Posta Kutunuzda Ücretsiz ThreatScan’i Çalıştırın

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.


Metin Dizeleriyle Zincirlenmiş USB Kötü Amaçlı Yazılım

İlk Vektör

Cyber ​​Security News ile paylaşılan raporlara göre tehdit aktörü, USB sürücüleri her türlü sosyal mühendislik yoluyla kurbanlara teslim ederek enfeksiyon zincirini başlatıyor. Kurban USB’yi cihazına bağladığında USB çıkarılabilir cihaz, satıcı adının altında bir kısayolla (.LNK uzantılı) gösterilir.

Enfeksiyon Zinciri | Kaynak: Mandiant

Kurbanlar bu zararlı LNK kısayol dosyasını açtığında aşağıdaki komutu içeren bir PowerShell betiğini (explorer.ps1) çalıştırıyor.

“C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle gizlendi -NoProfile -nologo -ExecutionPolicy ByPass -File explorer.ps1”

Explorer.ps1, belirli koşulları kontrol eden ve EMPTY SPACE indiricisi olan Runtime Broker.exe dosyasını getiren kodlanmış bir PowerShell betiğidir.

Zaman çizelgesi

Tehdit aktörü, 2023’ün başından itibaren GitHub’un yerini video paylaşım sitesi Vimeo’yla değiştirdi. Açıklamanın sabit kodlanmış yükün bulunduğu Vimeo’ya bir video eklendi. Ancak bu video artık kaldırıldı. Ayrıca Vimeo URL’si de explorer.ps1 komut dosyasının içine yerleştirildi.

Aralık 2023’ün ortasında, tehdit aktörünün Ars Technica’yı, yüke gömülü bir görüntü kullanarak kullandığı keşfedildi. Tehdit aktörü, yedek olarak ek bir dize içeren EMPTY SPACE hizmet URL’sini de güncellemiştir.

Ayrıca tehdit aktörü tarafından kullanılan EMPTYSPACE yükleyicisinin QUIETBOARD’un yanı sıra Node JS sürümü, .NET sürümü ve Python sürümü gibi çeşitli sürümleri de mevcut.

Bu Python tabanlı arka kapı, rastgele kod, kripto para hırsızlığı, USB sürücü enfeksiyonu, ekran görüntüsü alma, bilgi toplama ve C2 iletişimlerini yürütebilir.

Uzlaşma Göstergeleri

Ana bilgisayar tabanlı IOC’ler

IOCSHA-256İlişkili Kötü Amaçlı Yazılım Ailesi
explorer.ps172f1ba6309c98cd52ffc99dd15c45698dfca2d6ce1ef0bf262433b5dfff084bePowerShell Betiği
98594dfae6031c9bdf62a4fe2e2d2821730115d46fca61da9a6cc225c6c4a750
d09d1a299c000de6b7986078518fa0defa3278e318c7f69449c02f177d3228f0
7c793cc33721bae13e200f24e8d9f51251dd017eb799d0172fd647acab039027
6fb4945bb73ac3f447fb7af6bd2937395a067a6e0c0900886095436114a17443
%TEMP%\Runtime Broker.exea4f20b60a50345ddf3ac71b6e8c5ebcb9d069721b0b0edc822ed2e7569a0bb40EMPTYSPACE İndiricisi (Node.JS Varyantı)
Çalışma Zamanı Broker.exe8a492973b12f84f49c52216d8c29755597f0b92a02311286b1f75ef5c265c30dEMPTYSPACE İndiricisi (.NET Varyantı)
C:\Program Files (x86)\WinSoft Güncelleme Hizmeti\bootstrap.pycV1: 060882f97ace7cb6238e714fd48b3448939699e9f085418af351c42b401a1227EMPTYSPACE İndiricisi (Python Varyantı)
V2: 8c25b73245ada24d2002936ea0f3bcc296fdcc9071770d81800a2e76bfca3617
V3: b9ffba378d4165f003f41a619692a8898aed2e819347b25994f7a5e771045217
V4: 84674ae8db63036d1178bb42fa5d1b506c96b3b22ce22a261054ef4d021d2c69
C:\Program Files (x86)\WinSoft Güncelleme Hizmeti\program.pyz15d977dae1726c2944b0b4965980a92d8e8616da20e4d47d74120073cbc701b3QUIETBOARD Arka Kapı
26d93501cb9d85b34f2e14d7d2f3c94501f0aaa518fed97ce2e8d9347990decf
26e943db620c024b5e87462c147514c990f380a4861d3025cf8fc1d80a74059a
C:\windows\runtimebroker .exe71c9ce52da89c32ee018722683c3ffbc90e4a44c5fba2bd674d28b573fba1fdcQUIETBOARD ilişkili dosya
C:\Program Dosyaları (x86)\pyt37\python37.zip539a79f716cf359dceaa290398bc629010b6e02e47eaed2356074bffa072052fQUIETBOARD ilişkili dosya

Ağ Tabanlı IOC’ler

URL’si

  • hxxps://bobsmith.apiworld[.]cf/lisans.php
  • hxxps://arstechnica[.]com/civis/members/frncbf22.1062014/about/
  • hxxps://evinfeoptasw.dedyn[.]io/updater.php
  • hxxps://wjecpujpanmwm[.]tk/updater.php?from=USB1
  • hxxps://eldi8.github[.]io/src.txt
  • hxxps://evh001.gitlab[.]io/src.txt
  • hxxps://vimeo[.]com/api/v2/video/804838895.json
  • hxxps[://]anıtsal[.]ga/wp-admin[.]php
  • hxxp[://]stüdyofotografico35mm[.]altervista[.]kuruluş/güncelleyici[.]php
  • hxxp[://]ncnskjhrbefwifjhww[.]tk/güncelleyici[.]php
  • hxxp[://]geraldonsbutik[.]altervista[.]kuruluş/güncelleyici[.]php
  • hxxps[://]wjecpujpanmwm[.]tk/güncelleyici[.]php
  • hxxps[://]captcha[.]grup yardımı[.]üst/güncelleyici[.]php
  • hxxps[://]captcha[.]tgbot[.]o/güncelleyici[.]php
  • hxxps://luke.compeyson.eu[.]org/runservice/api/public.php
  • hxxps[://]Luke[.]compeyson[.]AB[.]org/wp-admin[.]php
  • hxxps://luke.compeyson.eu[.]org/runservice/api/public_result.php
  • hxxps://eu1.microtunnel[.]it/c0s1ta/index.php
  • hxxps[://]Davebearblog[.]AB[.]org/wp-admin[.]php
  • hxxps://lucaespo.altervista[.]org/updater.php
  • hxxps://lucaesposito.herokuapp[.]com/c0s1ta/index.php
  • hxxps://euserv3.herokuapp[.]com/c0s1ta/index.php



Source link