Trend Micro araştırmacıları, tehdit aktörlerinin NjRAT’ı yaymak için Discord, Facebook, OneDrive ve diğerleri gibi platformları kullanıyor olabileceğine inanıyor.
Trend Micro araştırmacıları, şu anda aktif olan ve tehdit aktörlerinin dağıttığı Earth Bogle adlı bir kampanya keşfettiler. NjRAT (diğer adıyla Bladabindi). Hedefleri Ortadoğu ve Kuzey Afrika’daki kurbanlar.
Bulgu Ayrıntıları
Trend Micro’nun araştırmasına göre, saldırganlar kötü şöhretli NjRAT veya Bladabindi kötü amaçlı yazılımlarını dağıtmaları için jeopolitik temalı dolandırıcılıklarla kullanıcıları cezbediyor. Bu kampanyanın kurbanları ağırlıklı olarak Orta Doğu ve Afrika’da bulunuyor.
Trend Micro araştırmacıları Peter Girnus ve Aliakbar Zahravi’ye göre, saldırganlar files.fm ve failiem.lv gibi genel bulut depolama hizmetlerini şu amaçlarla kullanıyor: kötü amaçlı yazılım barındırma güvenliği ihlal edilmiş web sunucuları aracılığıyla dağıtılır. Bildirildiğine göre, kampanya 2022’nin ortalarından beri aktif.
Saldırı Nasıl Çalışır?
Tehdit aktörleri, Microsoft CAB (Cabinet) arşivinin içine gizlenmiş, hassas bir ses dosyası gibi görünen kötü amaçlı bir belge kullanır. Bu dosyanın başlığı, bazı jeopolitik temaları temsil etmek için kurnazca yaratılmıştır, böylece hedefler onu açmaya mecbur hissederler. Örneğin, dosyalardan birinin başlığı şuydu: “Tarık bin Ziyad’ın kuvvetlerinin komutanı Omar ile bir Emirlik subayı.cab arasında bir sesli görüşme.”
Kötü amaçlı dosya, Discord ve Facebook gibi sosyal medya platformlarında veya OneDrive gibi paylaşım platformlarında dağıtılır. Ayrıca aracılığıyla teslim edilir kimlik avı e-postaları.
CAB dosyası, saldırının bir sonraki adımını yürüten gizlenmiş bir Sanal Temel Komut Dosyası (VBS) damlalığına sahiptir. CAB dosyası indirildikten sonra VBS betiği, güvenliği ihlal edilmiş veya sahte bir ana bilgisayardan kötü amaçlı yazılımı getirir ve kurbanın cihazına NRAT ekleyen bir PowerShell betiğini alır.
onların içinde Blog yazısı, araştırmacılar, Earth Bogle kampanyasında kullanılan yem dosyalarının Virus Total’deki tespit oranlarının şaşırtıcı derecede düşük olduğunu ve bunun da saldırganların tespit edilmeden kalmasına ve kampanyanın aktif kalmasına izin verdiğini belirtti. Damlalık, başlangıç anahtarına belirli bir dizin ekleyerek güvenliği ihlal edilmiş sistemde kalıcılığı korur.
NjRAT nedir?
NjRAT, ilk olarak 2013 yılında tespit edilen bir uzaktan erişim trojan kötü amaçlı yazılımıdır. Kötü amaçlı yazılım, virüs bulaşmış bilgisayarlara yetkisiz kontrol/erişim sağlamak için kullanılmıştır. Şimdiye kadar, kullanılan Orta Doğulu kullanıcıları ve kuruluşları hedef alan siber saldırılar.
Virüs bulaşmasını önlemek için bulut altyapısı kullanıcıları ve operatörleri, sistemlerinin güvenliğini artırmalıdır.
“Kullanıcılar, CAB dosyaları gibi şüpheli arşiv dosyalarını, özellikle de tehlikeye girme riskinin yüksek olduğu kamuya açık kaynaklardan açarken dikkatli olmalıdır. Araştırmacılar, güvenlik ekiplerinin bir güvenlik duruşu düşünürken çatışma bölgelerinin dinamik doğasının farkında olması gerektiğini belirtti.
Alakalı haberler
- Sahte fidye yazılımı saldırısı bilgisayarlara StrRAT bulaştırıyor
- ToxicEye RAT, casusluk yapmak ve veri çalmak için Telegram uygulamasını kullanıyor
- Hacker, Imminent Monitor RAT’ı Sattığı İçin Tutuklandı
- Konni RAT varyantı, yeni saldırı kampanyasında Rusya’yı vurdu
- Sahte DSÖ COVID-19 Güvenlik E-postalarında Nerbian RAT Düşüyor