2015 yılından bu yana aktif olan finansal olarak motive olmuş bir tehdit grubu olan RevengeHotels, büyük dil modeli oluşturulmuş kodu enfeksiyon zincirine entegre ederek misafirperverlik organizasyonlarına karşı operasyonlarını artırdı.
Başlangıçta Revengerat ve Nanocorerat gibi ısmarlama sıçan ailelerini, otel ön desk sistemlerini hedefleyen kimlik avı e-postaları aracılığıyla dağıttığı bilinen grubun en son kampanyaları, dinamik olarak üretilen JavaScript yükleyicileri ve PowerShell indiricileri aracılığıyla Venomrat implantlarını teslim etmeye yöneliyor.
Bu sofistike ilk enfeksiyonlar, bilgili yorumları ve otomatik kod üretimi öneren değişken yer tutucuları yerleştirerek mesleki gelişim standartlarını taklit eder.
.webp)
Son aylarda, operatörler özellikle Brezilya misafirperverliği ağlarını hedef aldı, ancak İspanyolca cazibesi kapsamı Latin Amerika’daki İspanyolca konuşan pazarlara genişletti.
Geciktirilmiş fatura bildirimleri veya sahte iş başvuruları olarak maskelenen e -postalar, alıcıları indirme işlemini başlatmak için “yağ {sayı} .js” formatında – “fatura” için Portekizce – adlandırılan komut dosyalarını ziyaret etmeye ikna eder.
Yürütme üzerine, yükleyici gizlenmiş bir tamponu çözer ve zaman damgalı bir dosya adına sahip bir PowerShell dosyası yazar, her örneğin benzersiz kalmasını ve imza tabanlı algılamalardan kaçınır.
Securelist analistler, bu dönen dosya adlarının ve oluşturulan kodun tutarlılığının, grubun önceki manuel gizleme çabalarından bir ayrılış olduğunu belirtti.
PowerShell Sapı yürütüldükten sonra, uzak sunuculardan iki baz 64 kodlu taşıma (venumerada.txt ve runpe.txt) alır.
İlk dosya hafif bir yükleyici görevi görürken, ikincisi Venomrat yükünü doğrudan bellekte yürütür.
Securelist araştırmacılar, yükleyicinin, diske nihai yürütülebilir dosyayı hiç yazmadan kod çözmek ve çağırmak için Şekil 1’de gösterildiği gibi basit bir deobfuscation rutini kullandığını tespit ettiler.
.webp)
Venomrat implantının kendisi, gizli masaüstü (HVNC), dosya çalma modülleri ve UAC bypass ilkelleri ile artırarak açık kaynaklı Quasarrat kod tabanına dayanır.
Yapılandırma verileri AES-CBC ile şifrelenir ve şifre çözme ve bütünlük doğrulaması için farklı anahtarlar kullanılarak HMAC-SHA256 aracılığıyla kimlik doğrulaması yapılır.
Ağ rutinleri, eyleme özgü paketleri serileştirir, LZMA ile sıkıştırır ve komut ve kontrol sunucusuna iletilmeden önce AES-128 ile şifreleyin.
.webp)
Özellikle, Venomrat, NGROK tabanlı tünellemeyi RDP ve VNC hizmetlerini ortaya çıkarmak için entegre ederek NAT veya güvenlik duvarı kısıtlamaları yoluyla bile uzaktan erişim özelliklerini geliştirir.
Enfeksiyon mekanizması
Enfeksiyon zincirinin başarısı, ilk JavaScript yükleyicinin, AI tarafından üretilen netliği manuel gizleme ile harmanlarken çok aşamalı yük dağıtımını düzenleme yeteneğine bağlıdır.
Kimlik avı e-postasının kullanıcısı kötü amaçlı bağlantıyı tıkladıktan sonra, kurbanın tarayıcısı bir wscript js dosyası- por146571.js- getirir, bu da hemen gömülü bir lekeyi çözer:-
var decoded = atob("SGDoHBZQWpL...");
// Write decoded PowerShell to disk
var fso = new ActiveXObject("Scripting.FileSystemObject");
var ps1 = fso.CreateTextFile("SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_" + Date.now() + ".ps1", true);
ps1.WriteLine(decoded);
ps1.Close();
// Execute the PowerShell script silently
WScript.CreateObject("WScript.Shell").Run("powershell -ExecutionPolicy Bypass -File " + ps1.Name, 0, false);Bu segment, AI’nın kötü niyetli eylemler gerçekleştiren temiz, korunabilir kod üretmedeki rolünü örneklendirir.
Zaman damgalarına dayalı benzersiz dosya adları üreterek ve kalıcı eserlerden kaçınarak, yükleyici geleneksel antivirüs ve adli araçlardan kaçar.
Üç fazlı yürütme-uyuşturucu kod, yaz ve yürütme-her bir enfeksiyon örneğinin farklılaştığını ve tespit imzası güncellemelerini karmaşıklaştırmasını sağlıyor.
AI güdümlü komut dosyası ve gelişmiş sıçan yeteneklerinin bu karışımı sayesinde, RevengeHotels cephaneliğini Windows ortamlarına karşı hassaslaştırmaya devam ederek siber güvenlik savunucularına giderek artan bir meydan okuma oluşturuyor.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free