Remcos RAT Yükleyen Word Dosyalarıyla URL’leri Kısaltmaya Dikkat Edin


Remcos Uzaktan Erişim Truva Atı’nı (RAT) dağıtmanın yeni bir yöntemi belirlendi.

Saldırganlara virüslü sistemler üzerinde tam kontrol sağlamasıyla bilinen bu kötü amaçlı yazılım, kısaltılmış URL’ler içeren kötü amaçlı Word belgeleri aracılığıyla yayılıyor.

Bu URL’ler veri hırsızlığı, casusluk ve diğer kötü amaçlı faaliyetler için kullanılabilecek Remcos RAT’ın indirilmesine yol açar.

Enfeksiyon zincirini anlamak ve bu tür saldırıların işaretlerini tanımak, bu tehditleri azaltmak açısından çok önemlidir.

Enfeksiyon Zinciri Analizi

Forcepoint bloglarına göre saldırı, alıcıyı kandırmak için tasarlanmış .docx eki içeren bir e-postayla başlıyor.

Bu dosya incelendiğinde kötü niyetli olduğunu gösteren kısaltılmış bir URL bulunur. Bu URL, Equation Editor kötü amaçlı yazılımının RTF formatındaki bir versiyonunun indirilmesine yönlendirir.

Kötü amaçlı yazılım, Denklem Düzenleyicisi güvenlik açığından (CVE-2017-11882) yararlanarak, muhtemelen kodlanmış veya gizlenmiş uzun bir dizi değişken ve dizeden oluşan bir VB komut dosyasını indirmeye çalışır.

Bu dizeler, daha sonra komut dosyasında kodu çözülebilen veya yürütülebilen kodlanmış bir veri yükü oluşturur.

VB betiği, steganografik bir görüntü aracılığıyla kötü amaçlı bir ikili dosya indirmeye ve Base64 kodlu dizeleri tersine çevirmeye çalışan PowerShell kodunun gizliliğini kaldırır.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Bir komut ve kontrol (C2) çağrısı yapılmasına rağmen, aynı zamanda bir TCP yeniden bağlantısı da vardır, bu da C2’nin kullanılamadığını düşündürür.

Pasif DNS analizi C2 alanlarını belirledi ancak bunlar şu anda etkin değil.

Saldırının Ayrıntılı Dağılımı

Belge (SHA1: f1d760423da2245150a931371af474dda519b6c9) iki kritik dosya içerir: word/_rels/ konumunda bulunan settings.xml.rels ve document.xml.rels.

Settings.xml.rels dosyası, enfeksiyonun bir sonraki aşamasının indirilmesinden sorumlu kısaltılmış bir URL’yi ortaya koyuyor:





  

.docx dosyasını korumalı alan ortamında çalıştırmak, dosyanın CVE-2017-0199 güvenlik açığını içerdiğini ortaya çıkarır.

Bu güvenlik açığından yararlanıldığında belge, kötü amaçlı bir dosyayı indirmek için uzak bir sunucuya bağlanmaya çalışır.

Saldırgan, kötü amaçlı URL’yi maskelemek için bir URL kısaltıcı hizmeti kullanır, bu da kurbanın riski fark etmesini zorlaştırır ve şüpheli URL’leri işaretleyebilecek güvenlik filtrelerinin atlanmasına yardımcı olur.

\word\embeddings klasörüne ilişkin daha fazla araştırma, oleObject bin dosyaları içindeki gömülü PDF dosyalarını ortaya çıkarır.

Bir şirket ile banka arasındaki bir banka işlemini gösteren PDF dosyası iyi huylu görünüyor. Ancak asıl tehdit, kısaltılmış URL aracılığıyla indirilen RTF dosyasında (SHA1: 539deaf1e61fb54fb998c54ca5791d2d4b83b58c) yatıyor.

Bu dosya, bir VB betiğini indirmek için Denklem Düzenleyicisi güvenlik açığından yararlanıyor (SHA1: 9740c008e7e7eef31644ebddf99452a014fc87b4).

Gizleme ve Yük Teslimatı

VB betiği, potansiyel olarak kodlanmış veya gizlenmiş verilerden oluşan, birleştirilmiş değişkenler ve dizelerden oluşan uzun bir dizedir.

Önemli değişken “remercear”, çeşitli dize değişmezlerinin tekrar tekrar birleştirilmesiyle oluşturulur; bu da onun kodlanmış bilgi veya komutları barındırdığını düşündürür.

Gizlemenin kaldırılmasının ardından PowerShell kodu, iki farklı URL’den kötü amaçlı bir ikili dosya indirmeye çalışır.

İlk URL, bir görüntünün içindeki kötü amaçlı yazılımı gizlemek için steganografiyi kullanıyor:Steganografik Görüntü

Görüntü, Base64 kodlu uzun bir dize içeriyor; ilk altı baytın kodu ‘MZ’ olarak çözülüyor ve bu, bir Windows yürütülebilir dosyasının varlığını gösteriyor.

İkinci URL, ters Base64 kodlu dize içeren bir TXT dosyasını almak için bir IP adresiyle iletişim kurar.

Bu, basit tespit mekanizmalarından kaçınarak bir gizleme katmanı ekler.

Cyber ​​Chef gibi araçlar kullanılarak dize tersine çevrilir ve kötü amaçlı yükü ortaya çıkarmak için Base64’ün kodu çözülür (SHA1: 83505673169efb06ab3b99d525ce51b126bd2009).

Süreçlerin izlenmesi potansiyel bir C2 sunucusuna (IP: 94) bağlantı olduğunu ortaya çıkarır[.]156[.]66[.]67:2409), şu anda kapalı ve TCP’nin yeniden bağlanmasına neden oluyor.

Remcos RAT’ı dağıtmak için Word belgelerinde kısaltılmış URL’lerin kullanılması, siber suçluların değişen taktiklerine dikkat çekiyor.

Enfeksiyon zincirini anlayarak ve bu tür saldırıların işaretlerini tanıyarak bireyler ve kuruluşlar kendilerini bu tehditlere karşı daha iyi koruyabilirler.

Ekleri olan istenmeyen e-postalara karşı her zaman dikkatli olun ve bilinmeyen kaynaklardan gelen kısaltılmış URL’lere tıklamaktan kaçının.

Uzlaşma Göstergesi

Ders FATURA
gönderenleri zarfla bilgi[at]keloğistik[.com info[at]artılar-tr[.com export[at]otomatik aletler[.store info[at]tongunpano[.icu
FAKTURA.docx f1d760423da2245150a931371af474dda519b6c9
URL hxxp://ilang.in/QNkGv hxxp[://]96[.]126[.]101[.]128/43009/mnj/lionskingalwaysbeakingofjungle to anlamak içinthekingofjungle’ın ne kadar hızlı dönüş yaptığını ve beni oyuna geri döndürmek için her şeyle____lionsarekingofjunglealways[.]doktor
RTF 539sağır1e61fb54fb998c54ca5791d2d4b83b58c
VB Komut Dosyası İndirme URL’si hxxps[://]yapıştırmak[.]ee/d/HdLtf
VB betiği 9740c008e7e7eef31644ebddf99452a014fc87b4
Ters base64 kodlu dizeler TXT dosyası hxxp[://]96[.]126[.]101[.]128/43009/NGB[.]txt
Steganografik görüntü dosyası hxxps://uploaddeimagens[.]com.br/images/004/785/720/original/new_image.jpg?1716307634
Remcos İkili 83505673169efb06ab3b99d525ce51b126bd2009
C2 IP’si 94.156.66[.]67:2409
C2 Alan Adları haber kanalı[.]ördekler[.]Belgome halkı[.]ördekler[.]kuruluş ford[.]ördekler[.]kuruluş günlüğü[.]ördekler[.]kuruluş

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free



Source link