Remcos Uzaktan Erişim Truva Atı’nı (RAT) dağıtmanın yeni bir yöntemi belirlendi.
Saldırganlara virüslü sistemler üzerinde tam kontrol sağlamasıyla bilinen bu kötü amaçlı yazılım, kısaltılmış URL’ler içeren kötü amaçlı Word belgeleri aracılığıyla yayılıyor.
Bu URL’ler veri hırsızlığı, casusluk ve diğer kötü amaçlı faaliyetler için kullanılabilecek Remcos RAT’ın indirilmesine yol açar.
Enfeksiyon zincirini anlamak ve bu tür saldırıların işaretlerini tanımak, bu tehditleri azaltmak açısından çok önemlidir.
Enfeksiyon Zinciri Analizi
Forcepoint bloglarına göre saldırı, alıcıyı kandırmak için tasarlanmış .docx eki içeren bir e-postayla başlıyor.
Bu dosya incelendiğinde kötü niyetli olduğunu gösteren kısaltılmış bir URL bulunur. Bu URL, Equation Editor kötü amaçlı yazılımının RTF formatındaki bir versiyonunun indirilmesine yönlendirir.
Kötü amaçlı yazılım, Denklem Düzenleyicisi güvenlik açığından (CVE-2017-11882) yararlanarak, muhtemelen kodlanmış veya gizlenmiş uzun bir dizi değişken ve dizeden oluşan bir VB komut dosyasını indirmeye çalışır.
Bu dizeler, daha sonra komut dosyasında kodu çözülebilen veya yürütülebilen kodlanmış bir veri yükü oluşturur.
VB betiği, steganografik bir görüntü aracılığıyla kötü amaçlı bir ikili dosya indirmeye ve Base64 kodlu dizeleri tersine çevirmeye çalışan PowerShell kodunun gizliliğini kaldırır.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Bir komut ve kontrol (C2) çağrısı yapılmasına rağmen, aynı zamanda bir TCP yeniden bağlantısı da vardır, bu da C2’nin kullanılamadığını düşündürür.
Pasif DNS analizi C2 alanlarını belirledi ancak bunlar şu anda etkin değil.
Saldırının Ayrıntılı Dağılımı
Belge (SHA1: f1d760423da2245150a931371af474dda519b6c9) iki kritik dosya içerir: word/_rels/ konumunda bulunan settings.xml.rels ve document.xml.rels.
Settings.xml.rels dosyası, enfeksiyonun bir sonraki aşamasının indirilmesinden sorumlu kısaltılmış bir URL’yi ortaya koyuyor:
.docx dosyasını korumalı alan ortamında çalıştırmak, dosyanın CVE-2017-0199 güvenlik açığını içerdiğini ortaya çıkarır.
Bu güvenlik açığından yararlanıldığında belge, kötü amaçlı bir dosyayı indirmek için uzak bir sunucuya bağlanmaya çalışır.
Saldırgan, kötü amaçlı URL’yi maskelemek için bir URL kısaltıcı hizmeti kullanır, bu da kurbanın riski fark etmesini zorlaştırır ve şüpheli URL’leri işaretleyebilecek güvenlik filtrelerinin atlanmasına yardımcı olur.
\word\embeddings klasörüne ilişkin daha fazla araştırma, oleObject bin dosyaları içindeki gömülü PDF dosyalarını ortaya çıkarır.
Bir şirket ile banka arasındaki bir banka işlemini gösteren PDF dosyası iyi huylu görünüyor. Ancak asıl tehdit, kısaltılmış URL aracılığıyla indirilen RTF dosyasında (SHA1: 539deaf1e61fb54fb998c54ca5791d2d4b83b58c) yatıyor.
Bu dosya, bir VB betiğini indirmek için Denklem Düzenleyicisi güvenlik açığından yararlanıyor (SHA1: 9740c008e7e7eef31644ebddf99452a014fc87b4).
Gizleme ve Yük Teslimatı
VB betiği, potansiyel olarak kodlanmış veya gizlenmiş verilerden oluşan, birleştirilmiş değişkenler ve dizelerden oluşan uzun bir dizedir.
Önemli değişken “remercear”, çeşitli dize değişmezlerinin tekrar tekrar birleştirilmesiyle oluşturulur; bu da onun kodlanmış bilgi veya komutları barındırdığını düşündürür.
Gizlemenin kaldırılmasının ardından PowerShell kodu, iki farklı URL’den kötü amaçlı bir ikili dosya indirmeye çalışır.
İlk URL, bir görüntünün içindeki kötü amaçlı yazılımı gizlemek için steganografiyi kullanıyor:Steganografik Görüntü
Görüntü, Base64 kodlu uzun bir dize içeriyor; ilk altı baytın kodu ‘MZ’ olarak çözülüyor ve bu, bir Windows yürütülebilir dosyasının varlığını gösteriyor.
İkinci URL, ters Base64 kodlu dize içeren bir TXT dosyasını almak için bir IP adresiyle iletişim kurar.
Bu, basit tespit mekanizmalarından kaçınarak bir gizleme katmanı ekler.
Cyber Chef gibi araçlar kullanılarak dize tersine çevrilir ve kötü amaçlı yükü ortaya çıkarmak için Base64’ün kodu çözülür (SHA1: 83505673169efb06ab3b99d525ce51b126bd2009).
Süreçlerin izlenmesi potansiyel bir C2 sunucusuna (IP: 94) bağlantı olduğunu ortaya çıkarır[.]156[.]66[.]67:2409), şu anda kapalı ve TCP’nin yeniden bağlanmasına neden oluyor.
Remcos RAT’ı dağıtmak için Word belgelerinde kısaltılmış URL’lerin kullanılması, siber suçluların değişen taktiklerine dikkat çekiyor.
Enfeksiyon zincirini anlayarak ve bu tür saldırıların işaretlerini tanıyarak bireyler ve kuruluşlar kendilerini bu tehditlere karşı daha iyi koruyabilirler.
Ekleri olan istenmeyen e-postalara karşı her zaman dikkatli olun ve bilinmeyen kaynaklardan gelen kısaltılmış URL’lere tıklamaktan kaçının.
Uzlaşma Göstergesi
| Ders | FATURA |
| gönderenleri zarfla | bilgi[at]keloğistik[.com info[at]artılar-tr[.com export[at]otomatik aletler[.store info[at]tongunpano[.icu |
| FAKTURA.docx | f1d760423da2245150a931371af474dda519b6c9 |
| URL | hxxp://ilang.in/QNkGv hxxp[://]96[.]126[.]101[.]128/43009/mnj/lionskingalwaysbeakingofjungle to anlamak içinthekingofjungle’ın ne kadar hızlı dönüş yaptığını ve beni oyuna geri döndürmek için her şeyle____lionsarekingofjunglealways[.]doktor |
| RTF | 539sağır1e61fb54fb998c54ca5791d2d4b83b58c |
| VB Komut Dosyası İndirme URL’si | hxxps[://]yapıştırmak[.]ee/d/HdLtf |
| VB betiği | 9740c008e7e7eef31644ebddf99452a014fc87b4 |
| Ters base64 kodlu dizeler TXT dosyası | hxxp[://]96[.]126[.]101[.]128/43009/NGB[.]txt |
| Steganografik görüntü dosyası | hxxps://uploaddeimagens[.]com.br/images/004/785/720/original/new_image.jpg?1716307634 |
| Remcos İkili | 83505673169efb06ab3b99d525ce51b126bd2009 |
| C2 IP’si | 94.156.66[.]67:2409 |
| C2 Alan Adları | haber kanalı[.]ördekler[.]Belgome halkı[.]ördekler[.]kuruluş ford[.]ördekler[.]kuruluş günlüğü[.]ördekler[.]kuruluş |
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free