2023'ten bu yana aktif olan Gizemli Kurtadam kümesi, silahlı bir arşive sahip kimlik avı e-postaları kullanarak hedefleri askeri-endüstriyel komplekse (MIC) kaydırdı.
Arşiv, görünüşte meşru bir PDF belgesinin yanı sıra kötü amaçlı bir CMD dosyası içeriyor ve kurban arşivi açıp PDF'ye çift tıkladığında, CMD dosyası yürütülerek RingSpy arka kapısını tehlikeye atılmış sisteme dağıtıyor.
Kötü amaçlı yazılım, Gizemli Kurt Adam'ın daha önceki kampanyalarda kullandığı bir strateji olan Mythic çerçevenin Athena ajanının yerini alıyor.
Gizemli Kurtadam olarak bilinen bir saldırgan, kod yürütmek için WinRAR'daki CVE-2023-38831 güvenlik açığından yararlanan kötü amaçlı arşivlerle bağlantılı kimlik avı e-postaları kullanıyor.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Taktikler değişti; Athena ajanı Python'da yazılmış RingSpy arka kapısıyla değiştirildi; burada grup, komuta ve kontrol sunucusu olarak bir Telegram botu kullanarak ele geçirilen sistemlerin kontrolünü sürdürmek için meşru hizmetlerden yararlanıyor.
Kötü amaçlı bir arşiv, WinRAR'daki (CVE-2023-38831) bir güvenlik açığından yararlanarak VBScript'i başlattı ve Yandex'den bir indirme bağlantısı alarak kötü amaçlı bir toplu iş dosyası (.vbs ve 1.bat) indirdi.
Disk kaynağı, OAuth kimlik bilgilerine sahip bir cURL komutu kullanarak, ardından alınan bağlantıyı kullanarak başka bir toplu iş dosyasını (i.bat) indirdi ve betiği indirdikten sonra, bağlantı dosyasını sildi ve indirilen toplu dosyayı başka bir VBScript çağrısı aracılığıyla yürüttü.
Hem ilk komut dosyası (1.bat) hem de indirilen komut dosyası (i.bat), yürütme sonrasında kendiliğinden silindi. Komut dosyası, yeniden kurulumu önlemek için önce mevcut bir dosyayı kontrol eder ve ardından bir indirme bağlantısını alır, sahte bir PDF indirir, onu açar ve bağlantıyı siler.
Daha sonra, önceden tanımlanmış bir sürüme dayalı olarak Python yükleyicisini resmi web sitesinden indirir, bunu gizli bir yerel klasöre çıkarır ve Python modülleri için arama yollarını belirtmek üzere bir yapılandırma dosyası ayarlar.
Daha sonra Python klasöründeki pip yükleyicisini indirir, ek kitaplıklar (istekler ve programlar) yüklemek için pip'i kullanır ve geçici yükleyici komut dosyasını silerek temizler.
Saldırgan, Yandex Cloud API'yi ve başlangıç klasörüne ve localAppData klasörüne yerleştirilen bir VBScript dosyası (.vbs) aracılığıyla indirilip çalıştırılan bir Python komut dosyasını kullanarak bir RingSpy arka kapısı dağıtıyor.
Arka kapı, uzaktan komut yürütülmesine, dosyaların indirilmesine ve sonuçların bir kontrol sunucusu aracılığıyla bir Telegram botuna gönderilmesine olanak tanır. Komut dosyası ayrıca PowerShell kullanılarak her dakika çalışacak şekilde planlanabilir.
İndirilen dosyalar belirli bir klasöre kaydedilir ve veri göndermek için Telegram botunun API'sine ağ istekleri yapılır.
Bi.zone'a göre saldırgan büyük ihtimalle ilk erişimi, eki olan bir hedef odaklı kimlik avı e-postası göndererek elde etti. İçeri girdikten sonra kötü amaçlı kod yürütmek için PowerShell'i, komut istemlerini, VBScript'i ve Python'u kullandılar.
Daha fazla uygulama için potansiyel olarak bir WinRAR güvenlik açığından (CVE-2023-38831) yararlandılar. Kalıcılığı korumak için zamanlanmış görevleri ve başlangıç klasörlerini kullandılar.
Saldırgan ayrıca dosyaları silerek savunmalardan kaçmaya çalıştı ve komuta ve kontrol için dosya aktarımı ve Telegram botu gibi teknikler kullandı.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.