Nim Tabanlı Kötü Amaçlı Yazılım, Silahlandırılmış Word Belgesi Aracılığıyla Sunuldu


Bilgisayar korsanları, sosyal mühendislik yoluyla kötü amaçlı yükler sağlamak için silahlı Word belgelerini kullanıyor.

Saldırganlar, bu belgelere kötü amaçlı yazılım yerleştirerek veya güvenlik açıklarından yararlanarak kullanıcıları kandırarak bunları açmalarını sağlar ve kötü amaçlı kod yürütülmesine yol açar.

Bu tür dosya formatlarıyla ilgili aşinalık ve güvenden yararlanırken bu taktik, çeşitli yasa dışı amaçlar için etkilidir: –

  • Kötü amaçlı yazılım yaymak
  • Yetkisiz erişim elde etmek
  • Diğer siber saldırıları başlatmak

Son zamanlarda Netskope’taki siber güvenlik araştırmacıları, tehdit aktörleri tarafından silah haline getirilmiş Word belgeleri aracılığıyla dağıtılan yeni bir Nim tabanlı kötü amaçlı yazılım tespit etti.

Nim, kötü amaçlı yazılım eğiliminin arttığı yeni bir dildir ve Netskope Tehdit Laboratuvarları’ndaki uzmanlar, Nim tabanlı tehditlerin giderek arttığına dikkat çekerek popülerliğin daha da artacağını öngörüyor.

Bunların arasında en dikkat çekeni, aynı zamanda Nim tabanlı ailenin yakın zamanda ortaya çıkan bir çeşidi olan “Dark Power” fidye yazılımıdır.

Word Belgesi Aracılığıyla Nim Tabanlı Kötü Amaçlı Yazılım

Kötü amaçlı Word belgesi, sahte Nepalli bir yetkili tarafından e-posta eki olarak gönderilen Nim arka kapısını düşürür.

Makro güvenliğe rağmen, aylar önce benzer bir taktiği kullanan Menorah gibi APT kötü amaçlı yazılımları, yük dağıtımı için hâlâ makrolardan yararlanıyor.

Makroyu etkinleştirmeden önce kötü amaçlı Word dosyası
Makroyu etkinleştirmeden önce kötü amaçlı Word dosyası (Kaynak – Netskope)

Bunun yanı sıra, dosyayı açtığınızda boş bir belge görüntülenir, makronun etkinleştirilmesi istenir ve ardından tıklatıldığında aşağıdakiler tetiklenir: –

  • Otomatik rutin
  • Kod yürütme

VBA projesi AV çözümlerini atlatmak için şifreler ve gizleme kullanıyor. Makrolar aynı zamanda Chr( ) ve dize birleştirmeyi de kullanır.

Bunun dışında kod dört alt programa bölünmüştür ve aşağıda bunlardan bahsettik: –

  • sch_task
  • hide_cons
  • okuma_kabuğunu oku
  • vb_chain

Word belgesi, 20 Eylül 2023’te Nim tabanlı ‘conhost.exe’ arka kapısını dağıtıyor. Nim, aşağıdaki dilleri Pythonic sözdizimiyle birlikte derleyen çok yönlü bir dildir: –

Arka kapı, kullanıcıları aldatmak için Nepal otoritesini taklit ederek kullanıcının ayrıcalıklarıyla çalışır. C&C sunucusu devlet alanlarını taklit eder ([.]hükümet[.]org).

Nim Arka Kapı
Nim Arka Kapısı (Kaynak – Netskope)

Nim arka kapısı analiz araçlarını kontrol eder ve bulunursa sonlandırılır. Daha sonra ana bilgisayar adını alır ve ‘fırın’ işleviyle şifreler.

Arka kapının kaçındığı işlemler
Arka kapının kaçındığı işlemler (Kaynak – Netskope)

Double-base64 ile kodlanmış şifrelenmiş ana bilgisayar adı: –

  • C&C sunucu URL’si ile birleştirildi
  • ‘.asp’ son eki

C&C sunucusu komutları HTTP GET aracılığıyla verir, yanıtın şifresi ‘şekerleme’ işlevi tarafından çözülür, cmd /c ile yürütülür ve ardından sonuç sunucuya geri gönderilir.

Bunun yanı sıra, şifreleme ve şifre çözme için anahtar olarak “NPA”, potansiyel olarak Nepal Temsilcisi kullanıldı.

Aşağıda, iletişime geçilen tüm C2 ana bilgisayarlarından bahsettik: –

  • posta[.]kalıba dökmek[.]hükümet[.]kuruluş
  • biraz[.]hükümet[.]kuruluş
  • mx1[.]Nepal[.]hükümet[.]kuruluş
  • DNS[.]hükümet[.]kuruluş

VBscript’OCu3HBg7gyI9aUaB.vbs‘ başlangıç ​​klasöründe erişim sağlar. İnternet bağlantısını onaylar, Google’a ping atar.

Başarı üzerine çalışır ‘8lGghf8kIPIuu3cM.bat,’ ve toplu iş dosyası dosyaları bırakır ve yük için görevler oluşturur.

Bu arada ‘d.bat’, zamanlanmış ‘ConsoleHostManager’ göreviyle kalıcı yürütmeyi kurar.

Planli gorev
Zamanlanmış Görev (Kaynak – Netskope)

Nadir dillerdeki kötü amaçlı yazılımlar, güvenlik uzmanlarını zorluyor ve Nim’deki çapraz derleme, bilgisayar korsanlarının güvenlik analistleri için engeller oluşturmasına yardımcı oluyor.

IOC’ler

MD5

  • e2a3edc708016316477228de885f0c39
  • 777fcc34fef4a16b2276e420c5fb3a73
  • EF834A7C726294CE8B0416826E659BAA
  • 32C5141B0704609B9404EFF6C18B47BF

SHA-1

  • 3aa803baf5027c57ec65eb9b47daad595ba80bac
  • 5D2E2336BB8F268606C9C8961BED03270150CF65
  • 4CAE7160386782C02A3B68E7A9BA78CC5FFB0236
  • 0599969CA8B35BB258797AEE45FBD9013E57C133

SHA-256

  • b5c001cbcd72b919e9b05e3281cc4e4914fee0748b3d81954772975630233a6e
  • 696f57d0987b2edefcadecd0eca524cca3be9ce64a54994be13eab7bc71b1a83
  • 88FA16EC5420883A9C9E4F952634494D95F06F426E0A600A8114F69A6127347F
  • 1246356D78D47CE73E22CC253C47F739C4F766FF1E7B473D5E658BA1F0FDD662

  • posta[.]kalıba dökmek[.]hükümet[.]kuruluş
  • biraz[.]hükümet[.]kuruluş
  • mx1[.]Nepal[.]hükümet[.]kuruluş
  • DNS[.]hükümet[.]kuruluş



Source link