Siber suçlular, Ukrayna hükümet iletişimini taklit etmek için tasarlanmış çok aşamalı bir kampanyada SVG dosyalarını ilk saldırı vektörü olarak kullanıyor.
Fordiguard Labs, Ukrayna hükümet kurumlarını kötü amaçlı ölçeklenebilir vektör grafikleri (SVG) dosyaları aracılığıyla hedefleyen gelişmiş bir kimlik avı kampanyası ortaya çıkardı ve sonuçta hem kripto para madenciliği kötü amaçlı yazılımlarını hem de kurban sistemlerini tehlikeye atmak için bilgi samançılarını dağıttı.
Saldırı, Ukrayna Ulusal Polisi’nden resmi bildirimler olarak maskelenen kötü niyetli SVG ekleri içeren kimlik avı e-postaları ile başlar, alıcıları bekleyen temyiz ve uyumsuzluk için potansiyel sonuçlar hakkında yasal sondaj dili ile bastırır.
“Elektroni_zapit_npu.svg” adlı SVG dosyası, harici bir SVG kaynağına başvuran gömülü bir HTML IFrame öğesi içerir.
Açıldığında, “Lütfen bekleyin, belgeniz yükleniyor…” gösteren sahte bir Adobe okuyucu arayüzü görüntüler, Ukrayna’da kurbanları, ekstraksiyon şifresini rahatça görüntülerken şifre korumalı bir arşiv indirmek için otomatik olarak yönlendirir.
İndirilen arşiv, karmaşık bir enfeksiyon dizisi başlatan derlenmiş bir HTML Yardım (CHM) dosyası içerir.
CHM dosyasında, araştırmacılar, tıklama yöntemi gizli modda bir uzak HTML uygulaması (HTA) kaynağı yürüten bir kısayol nesnesi içeren kötü amaçlı bir HTML dosyası keşfettiler.
HTA dosyası, dize kodlama ve dizi karıştırma teknikleri kullanılarak kasten gizlenmiş bir CountLoader olarak işlev görür.
Bu yükleyici, uzak sunucularla bağlantılar kurar, mağdur sistem bilgilerini toplar ve Xorbase64 kodlamasını kullanarak HTTP Post istekleri aracılığıyla gönderir.
Yükleyici, dosya indirmelerini, arşiv çıkarmalarını, DLL yürütmelerini, etki alanı keşiflerini ve etkinlik temizliğini sağlayan altı farklı komutu destekler.
Çift yük dağıtım
Pureminer Cryptominer
Kampanya, ergosystem.zip arşivi aracılığıyla teslim edilen gizli bir .NET Cryptominer olan Pureminer’ı dağıtıyor.
Bu kötü amaçlı yazılım, DLL sideloading tekniklerini ve .NET’i önceden (AOT) derlemesini kullanır, yükünü .RData bölümünde şifreli formda saklar ve işlemi boşaltma kullanılarak meşru .NET çerçeve işlemlerine enjekte etmeden önce.
Pureminer, video adaptör özelliklerini, bellek ayrıntılarını ve kullanım istatistiklerini toplamak için AMD ekran kütüphanesinden ve NVIDIA kütüphanelerinden API’leri kullanarak kapsamlı donanım keşifleri düzenler.
Kötü amaçlı yazılım, sistemlerin dağıtımdan önce en az 4GB belleğe sahip olduğunu doğrular ve yapılandırma gereksinimlerine bağlı olarak CPU tabanlı veya GPU tabanlı madencilik modüllerini dağıtabilir.
Kötü amaçlı yazılım, 3DES şifrelemesi kullanarak komut ve kontrol sunucuları ile kalıcı iletişimi sürdürür, indirilen yükleri yürütme, kalıcılık mekanizmalarını kaldırma, analiz araçlarını izleme, aktif pencereleri kontrol etme ve sistem boşta durumlarını algılayabilir.
Amatera Stealer Bilgi Basatı
Eşzamanlı olarak, SMTPB.ZIP arşivi, PythonmemoryModule projesini Filless uygulaması için kullanan Python tabanlı bir yükleyici aracılığıyla Amatera Stealer’ı sunar.
Bu stealer, sabit kodlu Mutex değerleri oluşturur ve veri toplama işlemlerini kontrol eden Base64 kodlu, RC4 şifreli yapılandırma dosyalarını elde etmek için uzak sunuculara bağlanır.
Amatera Stealer sistematik olarak sistem bilgileri (bilgisayar adları, kullanıcı adları, işletim sistemleri, donanım özellikleri), hem Gecko tabanlı hem de krom tabanlı uygulamalardan tarayıcı verileri, kripto para birimi cüzdan uzantıları, buhar ve telgraf gibi masaüstü uygulamaları ve kriptourrens masaüstü cüzdanı dahil olmak üzere birden fazla veri kategorisini hedefler.
Kötü amaçlı yazılım, eski çerez şifresini çözme ve COM API sömürüsü ve tarayıcı işlem enjeksiyonu yoluyla uygulamaya bağlı şifreli (ABE) veri şifre çözme dahil olmak üzere modern tarayıcı güvenliğini atlamak için sofistike teknikler kullanır.
Etki ve sonuçlar
Bu kampanya, SVG dosyalarının geleneksel güvenlik önlemlerinden kaçarken enfeksiyon zincirlerini başlatmak için HTML ikameleri olarak nasıl hizmet edebileceğini gösteren kimlik avı taktiklerinin evrimini göstermektedir.
Kripto para madenciliği ve kapsamlı veri hırsızlığı yoluyla kaynak kaçırma kombinasyonu, saldırganlar için ikili gelir akışları yaratır.
Devam eden jeopolitik gerilimler sırasında Ukrayna hükümet kuruluşlarının hedeflenmesi, kampanyanın devlet destekli veya politik olarak motive olmuş potansiyel doğasını vurgulamaktadır.
Kuruluşlar, SVG eklerini incelemek için kapsamlı güvenlik farkındalığı eğitimi uygulamalı, e -posta filtreleme sistemlerini güncellemeli ve sözleşmemiş kötü amaçlı yazılım yürütme tekniklerini tanımlayabilen uç nokta algılama çözümlerini dağıtmalıdır.
CHM dosyaları ve HTA uygulamaları gibi meşru pencereler özelliklerinin gelişmiş kaçaklama teknikleri ile birleştiğinde, kritik veriler ve kaynaklar tehlikeye girmeden önce bu tür karmaşık saldırı zincirlerini tespit edebilecek ve önleyebilen çok katmanlı güvenlik yaklaşımlarına ihtiyaç olduğunu vurgulamaktadır.
IOC
Alanlar / IPS:
Npulvivgov[.]CFD
ms-team-ping {1 ila 10}[.]com
Azure-expressContainer {1 ila 10}[.]com
su teknisyeni[.]BT
füzen[.]com
109[.]176[.]207[.]110
Proxs[.]tıklamak
AMA0899[.]mağaza
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.