Modern güvenlik savunmalarını atlamak için tasarlanmış karmaşık bir çok katmanlı enfeksiyon zincirini sergileyen Netskope tehdit laboratuvarları tarafından purehvnc uzaktan erişim Truva atı (sıçan) sağlayan yeni ve son derece kaçınılmaz bir kötü amaçlı yazılım kampanyası.
2024’te aktif olan bu kampanya, Bershka, Fragrance Du Bois, John Hardy ve Sevgili Klairs gibi tanınmış küresel markalardan, güzellik ve moda endüstrilerinde yüksek profilli pazarlama rolleri arayan bireyleri hedefleyen sahte iş tekliflerini kullanıyor.
Gelişmiş çok katmanlı enfeksiyon zinciri
Bu tür uyarlanmış sosyal mühendislik taktiklerinin kullanılması, gelişmiş teknik kaçırma yöntemleri ile birleştiğinde, saldırganlara ek kötü amaçlı yazılım ve araçlar dağıtmak için tam sistem erişimini sağlayan bu tehdidin karmaşıklığını vurgulamaktadır.
.png
)
Enfeksiyon, kullanıcıları zararsız bir PDF olduğuna inanmak için yanlış yönlendirmek için genellikle “.pdf.lnk” gibi çift uzantıları taşıyan, meşru bir belge olarak gizlenmiş kötü niyetli bir LNK dosyasının indirilmesiyle başlar.
Yürütme üzerine, LNK dosyası, PowerShell, JavaScript, Otoit komut dosyaları ve gizlenmiş yükleri içeren çok aşamalı bir işlem başlatan baz64 kodlu bir komut dosyasını kodlayan bir PowerShell komutunu tetikler.
Bu zincir, HTML etiketleri içinde gizlenmiş kötü amaçlı JavaScript ile bağlanmış büyük bir sahte MP4 dosyasını indirmeyi içerir, bu da “Phom.exe” adlı taşınabilir bir yürütülebilir (PE) dosyasını almak ve çalıştırmak için ek komut dosyalarını daha da çözer ve yürütür.
Teknik Kaçma Taktikleri
Bir iş teklifine benzeyen bir tuzak PDF, Ruse’u korumak için aynı anda görüntülenirken, perde arkasında, otomatik olarak derlenmiş bir ikili daha fazla komut dosyası dağıtır, Windows başlangıç klasöründeki bir internet kısayolu ile kalıcılık oluşturur ve JSC.Exe veya Appl.exe gibi meşru süreçlere enjekte etmek için proses oyma kullanır.
CBC modunda AES-256 ile şifrelenmiş ve .NET reaktörü ile gizlenmiş olan bu yük, sonuçta PurEHVNC sıçanını yükler, konfigürasyonlar birden fazla kampanya kimliği ve 85.192.48.3 ve 139.99.188.124 gibi ilişkili komut ve kontrol (C2) sunucularını ortaya çıkarır.
Kampanya, otomatik komut dosyaları için Cypherit Crypter gibi araçları kullanarak ve algılamadan kaçınmak için önemsiz verileri yerleştirerek her aşamada kapsamlı bir şaşkınlık kullanıyor.
Anti-analiz kontrolleri de mevcuttur, eğer ortak antivirüs emülatör adları veya avastui.exe gibi işlemler tespit edilirse yürütmeyi sonlandırır.
Kalıcılık, algılamayı daha da önlemek için dinamik adlandırma kuralları ile %localAppData %’lık bir “Wordgius Technologies” klasörüne bırakılan dosyalarla elde edilir.
Bu saldırının teknik karmaşıklığı, komut dosyalarındaki dize değiştirme, uzaktan dosya yürütme için mShta.exe gibi yerel Windows araçlarından yararlanmaya kadar, geleneksel güvenlik önlemlerini ortadan kaldırma niyetini vurgular.
Netskope Tehdit Laboratuarları, kesin ilk vektör belirsiz kalsa da, e -posta teslimatının kötü amaçlı yazılım yapılandırmalarına dayanarak ve iş tekliflerinin yanı sıra telif hakkı ihlali bildirimleri gibi cazibelerden şüphelendiğini belirtiyor.
PurEhVNC, 2024’te gözlemlenen Python zincirleri ve Genai saha yemleri de dahil olmak üzere yeni teslimat yöntemleriyle gelişmeye devam ettikçe, devam eden uyanıklık ve ileri tehdit tespiti, yetkilendirilmemiş erişim ve potansiyel daha fazla sömürü sağlayarak bireyler ve kuruluşlar için önemli bir risk oluşturan sofistike taktiklerine karşı kritiktir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!