LNK ve HTA Dosyasını Kullanma


Kötü şöhretli WarzoneRAT kötü amaçlı yazılımı, FBI'ın son zamanlarda operasyonlarını durdurma çabalarına rağmen geri dönüş yaptı.

İlk olarak 2018'de tespit edilen WarzoneRAT, Şubat ortasında FBI'ın kötü amaçlı yazılımın altyapısını ele geçirmesi ve siber suç planıyla bağlantılı iki kişiyi tutuklamasıyla kesintiye uğradı.

Ancak ThreatMon'un yakın zamanda yayınladığı WarZoneRAT v3 reklamı, geliştirilmiş özellikleriyle tehdit aktörlerinin vazgeçmekten çok uzak olduğunu gösteriyor.

Cyble Araştırma ve İstihbarat Laboratuvarlarındaki (CRIL) siber güvenlik uzmanları, uzaktan kontrol yetenekleri ve kötü amaçlı yazılımları yürütme yeteneği ile bilinen bir Uzaktan Yönetim Aracı (RAT) olan WarzoneRAT (Avemaria) kötü amaçlı yazılımını yaymak için vergi temalı spam e-postalardan yararlanan yeni bir kampanyayı ortaya çıkardı. uzak bir sunucunun komutası altındaki eylemler.

Enfeksiyon Taktikleri: LNK ve HTA Dosyaları

Enfeksiyon, şüphelenmeyen kullanıcıların “taxorganizer2023” konulu bir e-postayı açıp ekli arşiv dosyasını yürütmesiyle başlıyor.

Belge

Ücretsiz CISO'nun Bir Sonraki İhlalden Kaçınma Kılavuzunu İndirin

SOC Ekibi, Ağ Güvenliği veya Güvenlik Yöneticisi veya CSO'dan mısınız? Bulut tabanlı, bütünleşik ağ güvenliğinin güvenliği nasıl iyileştirdiğini ve TCO'yu nasıl azalttığını öğrenmek için Perimeter Kılavuzunu indirin.

  • Sıfır güven stratejisinin önemini anlayın
  • Ağ güvenliği Kontrol Listesini tamamlayın
  • Eski bir VPN'e güvenmenin neden artık geçerli bir güvenlik stratejisi olmadığını görün
  • Bulut tabanlı bir ağ güvenliği çözümüne geçişin nasıl sunulacağına ilişkin öneriler alın
  • Birleşik ağ güvenliğinin eski yaklaşımlara göre avantajlarını keşfedin
  • Ağ güvenliğini en üst düzeye çıkaran araçları ve teknolojileri keşfedin

Perimeter 81'in bulut tabanlı, birleşik ağ güvenliği platformuyla değişen tehdit ortamına zahmetsizce uyum sağlayın.

Bu dosya, bir resim gibi görünen ancak aslında kötü amaçlı bir LNK dosyası olan “taxorganizer2023.png.lnk” adlı aldatıcı bir kısayol dosyası içeriyor.

Yürütüldüğünde, bir ZIP dosyasını indirip çıkarmak için bir PowerShell komutunu tetikler ve bu da bir HTA dosyasının yürütülmesine yol açar.

Bu HTA dosyası daha sonra bellekteki bir PowerShell betiğini alır, bu da uzak bir sunucudan bir VBScript dosyası indirir ve sonuçta WarzoneRAT kötü amaçlı yazılımını dağıtır.

Genel enfeksiyon zinciri
Genel enfeksiyon zinciri

Başka bir enfeksiyon yöntemi, meşru bir EXE dosyası, kötü amaçlı bir DLL dosyası ve bir PDF dosyası içeren “MY TAX ORGANIZER.zip” adlı bir ZIP arşivini içerir.

EXE dosyasını çalıştırmak, WarzoneRAT olarak tanımlanan kötü amaçlı DLL'yi yükleyen DLL yan yükleme tekniğini tetikler.![DLL Sideloading Method](Şekil 17 – DLL yandan yükleme yöntemi)

DLL yan yükleme yöntemi
DLL yan yükleme yöntemi

Teknik Analiz: Kötü Amaçlı Yazılımın Paketinden Çıkarılması

Kampanyanın teknik analizi karmaşık bir enfeksiyon zincirini ortaya koyuyor.

LNK dosyası, ZIP dosyası olan PNG dosyasını indirir ve içeriğini çıkarır.

HTA dosyasının daha sonra çalıştırılması, gizlilik için rastgele denklemler oluşturmak, antivirüs işlemlerini kontrol etmek ve kalıcılık için dizinler ve dosyalar oluşturmak dahil olmak üzere çeşitli eylemleri gerçekleştiren bir dizi komut dosyasına yol açar.

Önemsiz kodları kaldırmadan önce ve sonra HTA dosyasının içeriği
Önemsiz kodları kaldırmadan önce ve sonra HTA dosyasının içeriği

Nihai Yük: WarzoneRAT'ın Tehlikeleri

Son yük olan WarzoneRAT (Avemaria), kurbanın bilgisayarına uzaktan erişime ve kontrole izin veren oldukça yetenekli bir RAT'tır.

Diğer müdahaleci etkinliklerin yanı sıra verileri sızdırabilir, ayrıcalıkları yükseltebilir, masaüstünü uzaktan yönetebilir, kimlik bilgilerini toplayabilir ve tuş kaydı gerçekleştirebilir.

Avemaria'nın sabit kodlanmış dizeleri
Avemaria'nın sabit kodlanmış dizeleri

Son kampanya, temalı spam e-postalarla kullanıcıların güvenini istismar eden siber suçluların oluşturduğu kalıcı tehdidi vurguluyor.

Bu kampanyada kullanılan yansıtıcı yükleme ve DLL yan yükleme gibi gelişmiş teknikler, dikkatli olmanın ve sağlam siber güvenlik önlemlerinin önemini vurguluyor.

WarzoneRAT kötü amaçlı yazılımının gelişmeye ve yeniden ortaya çıkmaya devam etmesi, siber suçlular ile siber güvenlik savunucuları arasında süregelen mücadelenin çarpıcı bir hatırlatıcısıdır.

Kullanıcılardan, vergi organizasyonu gibi güncel ve alakalı konularla ilgili gibi görünen e-posta eklerini bile açarken dikkatli olmaları isteniyor.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & ikiitter.





Source link