Finansal olarak motive olmuş Venom Örümcek Grubu (Altın Tavuklar olarak da bilinir) tarafından işletilen More_Eggs kötü amaçlı yazılım, titizlikle hazırlanmış sosyal mühendislik yoluyla insan güvenini kullanmaya devam ediyor.
Fin6 ve Kobalt Grubu gibi kötü şöhretli tehdit aktörlerine hizmet olarak kötü amaçlı yazılım (MAAS) olarak satılan bu güçlü javascript arka kapı, öncelikle iş başvurusu e-postaları olarak maskelenerek insan kaynakları (İK) departmanlarını hedefler.
Görünüşte meşru iletişim, tespit edilmeyen sistemlere sızmak için tasarlanmış kötü niyetli yükler gizler.
.png
)
MalwareBazaar’dan kaynaklanan “Sebastian Hall.zip” olarak adlandırılan yeni bir örnek, daha fazla_ggs’in gizliliğini ve sofistike olmasını örneklendirir, Windows kısayolu (LNK) dosyalarını, gizlenmiş senaryoları ve yasal sistem ikililerini hedefleyen bir temel oluşturan çok aşamalı bir enfeksiyon zincirini ortaya çıkarır.
Aldatıcı taktikler İK departmanlarını hedef
Rapora göre, Sebastian Hall.zip dosyasının analizi, bir tuzak görüntüsünün (B.JPG) ve enfeksiyon için ilk vektör olarak hizmet veren kötü niyetli bir LNK dosyasının (Sebastian Hall.lnk) aldatıcı bir karışımını ortaya çıkarır.
Sebastian Hall.zipİncelendiğinde, LNK dosyasının özellikleri, CMD.EXE aracılığıyla yürütülen gizli bir komut satırını ortaya çıkarır ve tespitten kaçınmak için titizlikle gizlenir.
LECMD ve Exiftool gibi araçlar, yükünü oluşturmak için değişken parçalanma ve sözdizimsel manipülasyon kullanan bir toplu komut dosyasını ortaya çıkaran tam komutun çıkarılmasında etkili olmuştur.
Komut dosyası, Microsoft Word’i dikkat dağıtıcı olarak başlatırken, aynı anda kodlanmış bir yapılandırma dosyası olan IEUInit.inf, geçici dizine (%Temp).
Daha sonra meşru Windows ikili ieuinit.exe’yi %Windir %\ System32’den %Temp’e kopyalar ve daha fazla kötü niyetli eylemleri tetikleyen “-basjestings” gibi şüpheli bir argümanla yürütür.
Saldırı zincirini incelemek
Standart bir Windows Inf olarak gizlenen ieuinit.inf dosyası, HXXP gibi gizlenmiş dizeler ve URL’ler içerir[://]WFSHTL[.]com/abf2IAWQ, muhtemelen bir komut ve kontrol (C2) sunucusunu veya ek yükleri işaret eder.
Bu karmaşık işlem nihayetinde, Core More_Eggs Backdoor olarak hizmet veren Magika analizi ile teyit edilen çok şaşkın bir JavaScript (JS) dosyasını indirir.
Arctic Wolf Labs tarafından belirtildiği gibi önleyici anti-geliştirme mekanizmaları ve sunucu tarafı polimorfizmine sahip olan bu JS yükü, sistem bilgilerini çalmak ve C2 sunucularıyla kalıcı iletişim kurmak için modüler bir damla kullanır, genellikle uzlaşmayı derinleştirmek için ek komut dosyaları veya DLL’ler getirir.
Ieuinit.exe gibi güvenilir ikili dosyaların kara ikili (LOLBA’lar) içinde yaşanması, kötü niyetli aktiviteyi rutin sistem işlemleriyle harmanlayarak tespiti en aza indirerek kötü amaçlı yazılımların kurnaz tasarımını sergiliyor.
Kuruluşlar için uyanıklık, IEUInit.exe’nin %Temp %, LNK dosyaları için zip eklerini incelemek ve Microsoft Word’ün beklenmedik lansmanlarını işaretlemek için kritik izlemedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!