İsrailli kullanıcıları hedef alan yeni bir siber kampanya, gelişmiş bilgi hırsızı RHADAMANTHYS’i ilgi odağı haline getirdi.
Rusça konuşan siber suçlular tarafından ortaya çıkarılan ve Kötü Amaçlı Yazılım Hizmeti olarak sunulan RHADAMANTHYS, veri sızdırma konusunda üstünlük sağlıyor.
Son örnekler ve derinlemesine analizler, karmaşık bir enfeksiyon zincirini ve kapsamlı yük kapasitelerini ortaya koyarak, gelişen tehdit ortamını vurguluyor ve bu güçlü kötü amaçlı yazılıma karşı güçlü savunmalara duyulan ihtiyacın altını çiziyor.
Saldırıda, Calcalist ve Mako’dan gelen meşru bir bildirim gibi görünen İbranice bir kimlik avı e-postası kullanılarak sosyal mühendislik taktiği uygulanıyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Bir e-posta, telif hakkı ihlali iddiasıyla aciliyet duygusunu ve yasal sonuçlardan duyulan korkuyu kullanarak, kullanıcıların hemen harekete geçmesini sağlar ve zaman baskısını ve olası yasal sorunlarla ilgili endişeyi istismar ederek güvenlik önlemlerini aşmak için kullanıcı psikolojisini manipüle eder.
.webp)
Kilitli bir RAR arşivi içeren kötü amaçlı bir e-postayla karşılaşıldı. Çıkartmanın ardından, SHA256 karma değeri A7DBBAD8A1CD038E5AB5B3C6B1B312774D808E4B0A2254E8039036972AC8881A’ya sahip “telif hakkı ihlal eden Images.exe” adlı şüpheli bir yürütülebilir dosya keşfedildi.
Boyutu 1.804.072 bayt olan bu saldırının kötü amaçlı olma ihtimali yüksek olup, tam işlevselliğini ve potansiyel zararını belirlemek için kontrollü bir ortamda daha fazla analiz yapılması gerekiyor.
RHADAMANTHYS kötü amaçlı yazılımı, çalıştırıldığında, korumalı ortamlarda tespiti engellemek için anti-analiz ve anti-emülasyon taktikleri kullanır ve sağlanan msimg32.dll ve daha büyük bir destek dosyasını kullanarak tehlikeye atılmış sistemde bir dayanak noktası oluşturmak için çok aşamalı bir enfeksiyon süreci başlatır.
RHADAMANTHYS, sanal makine ve hata ayıklayıcı algılama ve zaman tabanlı kaçınma gibi anti-analiz tekniklerini kullanarak tespit edilmekten kaçınmak için meşru Windows işlemlerine işlem enjeksiyonu uygulayan gelişmiş bir bilgi hırsızıdır.
Kötü amaçlı yazılım, kayıt defteri değişikliği yoluyla varlığını sürdürüyor, kimlik bilgileri, tarama geçmişi, kripto para bilgileri ve sistem ayrıntıları gibi hassas verileri sızdırıyor ve HTTPS ve standart dışı bir bağlantı noktası üzerinden şifrelenmiş trafik kullanarak C2 sunucusuyla iletişim kuruyor.
Araştırmacıya göre, bu aynı zamanda daha sonraki kötü amaçlı yazılım yükleri için bir indirici işlevi görerek, tehlikeye atılmış sistemler için önemli bir tehdit oluşturuyor.
Kötü amaçlı yazılım, potansiyel olarak kaçamak manevralar veya C2 iletişimi için DNS aramalarını agresif bir şekilde gerçekleştirerek birden fazla sistem bileşeninde kötü amaçlı davranışlar sergiliyor.
Çeşitli portlardan birden fazla işlem aracılığıyla 103.68.109.208’e yapılan ağ bağlantıları, geçici ve kullanıcı dizinlerinde dosya oluşturan ve bunları değiştiren olası bir komuta ve kontrol etkinliğine işaret ediyor ve bu da veri sızdırma ve kalıcılık mekanizmalarına işaret ediyor.
Kalıcı enfeksiyonlar yaratmak ve kullanıcı etkileşimlerini düzenlemek amacıyla yapılan otomatik çalıştırma girdileri ve tarayıcı müdahaleleri gibi çok sayıda kayıt defteri değişikliği, veri hırsızlığı ve sistem ele geçirme amaçları olan karmaşık bir tehdidi ortaya koymaktadır.
Bu eylemleri mümkün kılan temel API’ler şunlardır: VirtualAllocEx (hedef işlem içinde bellek ayırır), CreateRemoteThread (enjekte edilen kodu çalıştırır), RegSetValueEx (sistemdeki değişiklikleri en son yapar) ve CryptEncrypt/CryptDecrypt (bir komuta ve kontrol sunucusuyla şifreli iletişim için kullanılabilir).
YARA kuralı, kötü amaçlı yazılımın özelliklerine uyan metin ve onaltılık desenlerin bir karışımını kullanarak belirli dizeleri, ortak bir kod desenini ve dosya özelliklerini arayarak olası RHADAMANTHYS çalma kötü amaçlı yazılımını bulmaya çalışır.
Tehditleri azaltmak için kuruluşlar, güçlü filtreleme ve sanal alan yönetimi yoluyla e-posta güvenliğine öncelik vermeli, kimlik avı eğitimleriyle kullanıcı farkındalığını artırmalı, gelişmiş uç nokta koruması dağıtmalı, ağları segmentlere ayırmalı, kritik verileri düzenli olarak yedeklemeli, yama yönetimini uygulamalı, uygulama yürütmeyi kısıtlamalı ve çok faktörlü kimlik doğrulamayı uygulamalıdır.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide