Bilgisayar korsanları, kötü amaçlı yazılım yaymak için LNK (Windows kısayolu) dosyalarını hedefler çünkü kısayol tıklatıldığında otomatik olarak çalıştırılan kötü amaçlı kodu yerleştirebilirler.
LNK dosyaları zararsız görünür ancak kötü amaçlı yazılım indirmelerini veya diğer kötü amaçlı eylemleri gizlice tetikleyebilir, bu da onları Windows sistemlerinde etkili bir ilk enfeksiyon vektörü haline getirir.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
ASEC’teki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin dosyasız “RokRat” kötü amaçlı yazılımını dağıtmak için silahlı Windows kısayol dosyalarından aktif olarak yararlandığını keşfetti.
Dosyasız RokRat Kötü Amaçlı Yazılım
AhnLab, devam eden RokRat kötü amaçlı yazılım dağıtımının Güney Koreli kullanıcıları, özellikle de Kuzey Kore sorunlarıyla ilgili olanları hedef aldığını doğruladı ve belirlenen kötü amaçlı LNK dosya adları aşağıda listelendi: –
- Ulusal Bilişim Akademisi 8. Bütünleşik Kurs Sertifikası (Final).lnk
- Kapı erişim listesi 2024.lnk
- Kuzeydoğu Projesi (ABD Kongre Araştırma Servisi (CRS Raporu).lnk
- Tesis listesi.lnk
.webp)
Kötü amaçlı LNK dosyaları, geçen yılki RokRAT örneklerine benzer şekilde PowerShell’i CMD aracılığıyla çalıştırıyor. Özellikle, sosyal mühendislik cazibesini geliştirmek için aşağıdaki şeyleri LNK dosyasında bir araya getiriyorlar: –
- Meşru belgeler
- Kodlar
- Kötü amaçlı PE verileri
.webp)
Yürütüldüğünde, LNK dosyası meşru bir belge tuzağı oluşturmak için PowerShell’i çalıştırır ve ardından ortak klasörde üç dosya (find.bat, search.dat, viewer.dat) gelir. find.bat, viewer.dat’tan RokRAT arka kapı yükünü dosyasız olarak yürüten search.dat’ı çalıştırır.
RokRAT, kullanıcı verilerini toplayabilir ve komutlar alabilir, çalınan bilgileri saldırganın pCloud, Yandex ve DropBox gibi bulut sunucularına sızdırırken, istekleri Googlebot olarak gizleyebilir.
Tavsiye belgesinde, dosyasız tekniklerden yararlanan çok aşamalı yürütme sürecinin tespitten kaçınmayı amaçladığı belirtiliyor.
.webp)
RokRAT komutları çalıştırabilir, dizinleri gösterebilir, başlangıç dosyalarını silebilir, başlangıç/uygulama verileri/son dosya listelerini toplayabilir ve sistem ve ağ bilgilerini toplayabilir.
Çalınan veriler, buluttaki saldırgan altyapısına sızmadan önce (örneğin, Googlebot kılığına giren pCloud), geçici bir klasörde saklanır. Bilinen saldırgan e-postaları: [email protected], [email protected], [email protected] Ve [email protected].
Tehdit aktörü genellikle Kore’nin birleşmesi, askeri veya eğitim sektörleriyle bağlantılı hedeflerin peşindedir; bu alanlarla ilgilenen kuruluşların bu nitelikteki ısrarlı saldırılara karşı ekstra dikkatli olmaları gerekmektedir.
IoC’ler
- b85a6b1eb7418aa5da108bc0df824fc0
- 358122718ba11b3e8bb56340dbe94f51
- 35441efd293d9c9fb4788a3f0b4f2e6b
- 68386fa9933b2dc5711dffcee0748115
- bd07b927bb765ccfc94fadbc912b0226
- 6e5e5ec38454ecf94e723897a42450ea
- 3114a3d092e269128f72cfd34812ddc8
- bd98fe95107ed54df3c809d7925f2d2c
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide