Siber güvenlik araştırmacıları, Remcos Rat adlı bir uzaktan erişim Truva atını dağıtmak için PowerShell tabanlı bir kabuk kodu yükleyiciden yararlanan yeni bir kötü amaçlı yazılım kampanyasına ışık tuttu.
Qualys Güvenlik Araştırmacısı Akshay Thorve teknik bir raporda, “Tehdit aktörleri, genellikle ofis belgeleri olarak gizlenmiş, zip arşivlerine gömülü kötü niyetli LNK dosyaları teslim etti.” Dedi. “Saldırı zinciri, ilk aşamada proxy yürütme için mshta.exe’den yararlanır.”
En son saldırı dalgası, Qualys tarafından detaylandırıldığı gibi, kullanıcıları HTML uygulamalarını (HTA) çalıştırmak için kullanılan meşru bir Microsoft aracı olan Mshta.exe’yi kullanan bir Windows kısayolu (LNK) dosyası içeren kötü amaçlı bir fermuar arşivi açmaya ikna etmek için vergi ile ilgili yemleri kullanır.
İkili, bir PowerShell komut dosyası, bir tuzak PDF ve “311.hta” adı verilen XLab22.hta’ya benzer başka bir HTA dosyası indirmek için görsel Basic Script kodunu içeren uzak bir sunucuda barındırılan “XLab22.hta” adlı gizlenmiş bir HTA dosyasını yürütmek için kullanılır. HTA dosyası, “311.hta” nın sistem başlatması üzerine otomatik olarak başlatıldığından emin olmak için Windows kayıt defteri değişiklikleri yapmak üzere yapılandırılmıştır.
PowerShell komut dosyası yürütüldükten sonra, sonuçta Remcos sıçan yükünü tamamen bellekte başlatmaya devam eden bir kabuk kodu yükleyicisini çözer ve yeniden yapılandırır.
Remcos Rat, tehdit aktörlerine tehlikeye atılan sistemler üzerinde tam kontrol sunan iyi bilinen bir kötü amaçlı yazılımdır, bu da onu siber casusluk ve veri hırsızlığı için ideal bir araç haline getirir. Visual Studio C ++ 8 kullanılarak derlenen 32 bitlik bir ikili, modüler bir yapıya sahiptir ve sistem meta verilerini, günlük tuşlarını toplayabilir, ekran görüntülerini yakalayabilir, pano verilerini izleyebilir ve tüm yüklü programların ve çalışma işlemlerinin bir listesini alabilir.
Buna ek olarak, “ReadySteaurants’da bir komut ve kontrol (C2) sunucusuna TLS bağlantısı kurar.[.]com, “veri açığa çıkma ve kontrol için kalıcı bir kanalın korunması.
Bu, Remcos Rat’ın ilk defa sözleşmesiz versiyonları vahşi doğada tespit edilmedi. Kasım 2024’te Fortinet Fortiguard Labs, sipariş temalı yemlerden yararlanarak kötü amaçlı yazılımları telsiz olarak konuşlandıran bir kimlik avı kampanyasını detaylandırdı.
Saldırı yöntemini tehdit aktörleri için cazip kılan şey, kötü amaçlı kod doğrudan bilgisayarın belleğinde çalıştığı ve diskte çok az iz bıraktığı için birçok geleneksel güvenlik çözümü tarafından tespit edilmesine izin vermesidir.
Slashnext Field CTO J Stephen Kowski, “Yeni Remcos Rat varyantı gibi PowerShell merkezli saldırıların yükselişi, tehdit aktörlerinin geleneksel güvenlik önlemlerinden kaçınmak için nasıl geliştiğini gösteriyor.” Dedi.
Diyerek şöyle devam etti: “Bu sözlü olmayan kötü amaçlı yazılım, geleneksel savunmaları atlayabilen gizlenmiş PowerShell komut dosyalarını yürütmek için LNK dosyaları ve mShta.exe kullanarak doğrudan bellekte çalışır. Suçlu davranışlar için gerçek zamanlı tarama olduğu gibi kötü niyetli LNK eklerini önemlidir.”
Açıklama, Palo Alto Networks Birimi 42 ve Threatray, çok çeşitli emtia bilgi çalıcıları ve ajan Tesla, Novorealer, Remcos Rat, Vipkeylogger, Xloader ve Xworm gibi sıçanları patlatmak için kullanılan yeni bir .NET yükleyicisini detaylandırdı.
Yükleyici, son aşama yükü dağıtmak için birlikte çalışan üç aşamaya sahiptir: ikinci ve üçüncü aşamaları şifreli formda gömen bir .NET yürütülebilir, bir sonraki aşamayı çözen ve yükleyen bir .NET DLL ve ana kötü amaçlı yazılımların dağıtılmasını yöneten bir .net DLL.
Threatray, “Daha önceki sürümler ikinci aşamayı sabit kodlu bir dize olarak yerleştirirken, daha yeni sürümler bir bitmap kaynağı kullanıyor.” Dedi. “İlk aşama bu verileri çıkarır ve şifresini çözer, ardından ikinci aşamayı başlatmak için bellekte yürütür.”
Ünite 42, geleneksel güvenlik mekanizmalarını atlayabilen ve algılamadan kaçınabilen kötü amaçlı yükleri gizlemek için bitmap kaynaklarının kullanımını açıklamıştır.
Bulgular ayrıca kimlik bilgisi hırsızlığı ve kötü amaçlı yazılım sunumu için tasarlanan çeşitli kimlik avı ve sosyal mühendislik kampanyalarının ortaya çıkmasıyla da çakışıyor –
- Bir kobalt grev işaretini bırakmak ve idari kimlik bilgileri de dahil olmak üzere hassas Keepass veritabanı verilerini çalmak için Keepass şifre yönetimi yazılımının ve kod adlı Keeloader’ın truva atlı versiyonlarının kullanımı. Kötü niyetli montajcılar, Bing reklamları aracılığıyla sunulan Keepass yazım alanlarında barındırılır.
- Lumma Stealer’ı dağıtmak için PDF belgelerinin içine gömülü ClickFix lures ve URL’lerin ve bir dizi aracı damlalık URL’lerinin kullanılması.
- Horus Protector olarak adlandırılan bir kötü amaçlı yazılım dağıtım hizmeti kullanılarak korunan FormBook Information Stealer’ı dağıtmak için kullanılan Booby Tapınan Microsoft Office belgelerinin kullanımı.
- Blob URI’lerin, kimlik avı e-postaları aracılığıyla yerel olarak bir kimlik kimlik avı sayfasını yüklemek için kullanımı, Blob Uris izin verilen sayfalar kullanılarak servis edilir (örn. OneDrive.live.live[.]com) kurbanları, bir tehdit aktör kontrollü HTML sayfasına bağlantı içeren kötü amaçlı bir siteye yönlendirmek için istismar edilen.
- Ukrayna ve Polonya’yı hedefleyen saldırılarda Netsupport sıçanını dağıtmak için kurulum dosyaları olarak maskelenen RAR arşivlerinin kullanımı.
- Mağdurların Outlook, Hotmail ve Gmail kimlik bilgilerini yakalamak için kötü amaçlı kod içeren HTML eklerini dağıtmak ve Şubat 2025’ten bu yana etkin olan “Blessed Logs” adlı bir telgraf botuna eklemek için kimlik avı e -postalarının kullanılması
Gelişmeler, algılama çabalarını ortadan kaldırmak için gerçek zamanlı olarak mutasyona uğrayan polimorfik hilelerden yararlanan yapay zeka (AI) destekli kampanyalardaki artışla da tamamlanmıştır. Bunlar, imza tabanlı algılamayı geçecek e-posta konu satırlarını, gönderen adlarını ve gövde içeriğini değiştirmeyi içerir.
Cofense, “AI, tehdit aktörlerine kötü amaçlı yazılım gelişimini otomatikleştirme, sektörler arasında ölçeklendirme ve kimlik avı mesajlarını cerrahi hassasiyetle kişiselleştirme gücü verdi.” Dedi.
“Bu gelişen tehditler giderek daha fazla geleneksel e-posta filtrelerini atlayabiliyor, yalnızca çevre savunmalarının başarısızlığını ve teslimat sonrası tespit ihtiyacını vurguluyor. Ayrıca, içeriği anında değiştiren polimorfik kimlik avı kampanyaları yoluyla geleneksel savunmaları daha fazla yönlendirmelerini sağladı.