PowerShell ve VBScript'ten Yararlanan Yeni Komut Dosyası Tabanlı Saldırı

DEEP#GOSU'nun büyük olasılıkla Kimsuky grubuyla bağlantılı olduğu yeni bir kampanya belirlendi ve sistemlere gizlice bulaşmak için çok sayıda PowerShell ve VBScript hazırlayıcı kullanan yeni bir komut dosyası tabanlı saldırı zinciri kullanıyor.

Özellikleri arasında veri sızdırma, keylogging, pano izleme, dinamik yük yürütme ve zamanlanmış etkinlikler yoluyla kalıcılık, işleri kullanarak kendi kendine çalışan PowerShell komut dosyaları ve tam uzaktan erişim için RAT yazılımı yer alıyordu.

Securonix Tehdit Araştırma Ekibi, Cyber ​​Security News ile yaptığı paylaşımda “DEEP#GOSU'da kullanılan kötü amaçlı yazılım yükleri, özellikle ağ izleme açısından Windows sistemlerinde gizlice çalışmak üzere tasarlanmış karmaşık, çok aşamalı bir tehdidi temsil ediyor” dedi.

Yeni DEEP#GOSU Saldırı Kampanyasının Analizi

DEEP#GOSU kampanyasının kötü amaçlı yazılımı büyük olasılıkla sisteme standart kanallar aracılığıyla giriyor; örneğin bir kullanıcının şu uzantı tarafından gizlenmiş tek bir dosya içeren bir zip dosyası içeren kötü amaçlı bir e-posta ekini açması gibi: pdf.lnk

Komutun şaşırtıcı uzunluğu göz önüne alındığında, gerçekleştirilen PowerShell'in birçok karmaşık görevi yerine getirebildiği açıktır.

Üstelik bu kısayol dosyası ilk göründüğünden daha büyük ve yaklaşık 2,2 MB boyutunda.

“Kısayol dosyasında yer alan gömülü PowerShell betiği bayt verilerini kendisinden almak üzere tasarlandı; bu betik, gömülü dosyaları, AESDecrypt'i ayıklıyor ve internetten (/step2/ps.bin) indirilen diğer kötü amaçlı kodları yürütüyor ve yürütülmesinin izlerini temizliyor” , araştırmacılar söyledi.

Daha yakından incelendiğinde, kısayol dosyasının on binlerce “A” harfinden sonra birleştirilmiş gömülü bir PDF'ye sahip olduğu görülüyor.

Bu karakterler, önlemek için dosya boyutunu şişirme girişimi olabilir. AV algılama.

Sonuç olarak, kısayol dosyasına birleştirilmiş bir PDF dosyası eklenir. PowerShell kodu, çeşitli görevleri yerine getiren akıllı bir işleve sahiptir.

Kurbana sağlanan orijinal zip dosyasında aslında bir PDF dosyasının bulunmaması, bu yöntemi oldukça karmaşık hale getiriyor.

Kullanıcının beklenmedik bir şey olması konusunda endişelenmesine gerek yoktur çünkü PDF cazibesine (kısayol dosyası) tıkladıklarında anında bir PDF dosyası sunulur.

Korece yazılan PDF yem belgesinin, Korean Airlines'ın merhum CEO'su Choi Yul'un oğlunun bir araba kazasında ölümüyle ilgili bir açıklama olduğu iddia ediliyor.

Geri kalanı cenaze evinin bilgilerini ve tarihlerini içerir.

Kısayol dosyasına eklenen PowerShell betiğinin amacı, özel olarak hazırlanmış zararlı.lnk dosyasını bulup sessizce çalıştırmak, gömülü PDF yem belgesini çıkarmak ve çalıştırmak, kimlik doğrulamak, şifresini çözmek ve indirilen ek kötü amaçlı kodu çalıştırmaktır. Dropbox'tan kaldırın ve son olarak yürütüldüğüne dair tüm kanıtları kaldırın.

Araştırmacılar Base64'te kodlanmış uzun bir dizenin çağrıldığını gördüler.

Metnin kodunun çözülmesi, Dropbox ile bir kez daha bağlantı kurmak için belirli çevrimiçi API'lerle iletişim kurmayı amaçlayan bir VBScript kod bölümünü ortaya çıkarıyor.

Bu kampanya, bazı yeni aşamalara ek olarak önceden bilinen TTP'lerin ve geri dönüştürülmüş kodların bir kombinasyonunu kullanıyor.

Kimsuky grubu daha önce Güney Koreli kurbanları hedef almış olsa da, ticari araçlardan grubun yeni bir komut dosyası tabanlı saldırı zinciri kullanmaya geçtiği açıkça görülüyor.

Bu nedenle, istenmeyen e-postalara yanıt verirken, özellikle de beklenmedik veya acil görünüyorlarsa dikkatli olun; çünkü birçok kötü amaçlı yazılım bulaşması şirket dışında başlar.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.