RomCom Tehdit Aktörü, Kötü Amaçlı Yazılım Sunmak İçin Microsoft Word Dosyasını Kullanıyor


RomCom, mali kazanç için hassas bilgileri sızdırmak için cihazlar üzerinde uzaktan erişim/kontrol sağlayan bir RAT’tır ve şu anda Ukrayna’nın askeri kurumlarına karşı jeopolitik güdümlü saldırılarda kullanılmaktadır.

Blackberry tehdit istihbarat ekibine göre, tehdit aktörü NATO Gönder misafirlerini RTF İstismarı yoluyla hedef alıyor.

CSN

Tehdit aktörleri bu olaydan yararlanarak Ukrayna kongresini taklit eden kötü niyetli belgeleri Ukrayna taraftarlarına gönderdi.

Sömürü

Litvanya, 11-12 Temmuz tarihlerinde Vilnius’ta bir NATO Zirvesi’ne ev sahipliği yapıyor. Ukrayna Devlet Başkanı Zelenskyy’nin varlığı teyit edildi ve gelecekte Ukrayna ile üyelik görüşmeleri yapacak.

Tehdit aktörleri, meşru görünmek için Ukrayna Kongresi’nin web sitesine “.info” ekini ekleyerek klonladı.

Şekil: Kopyalanmış sahte web sitesi

Typosquatting Tekniğini kullanarak sahte bir alan adı oluşturdular ukraynalı dünya kongresi[.]orijinal etki alanı ukrainianworldcongress gibi görünen bilgi[.]org.

Ardından, afchunk.rtf adlı gömülü bir RTF dosyası içeren “Overview_of_UWCs_UkraineInNATO_campaign.docx” adlı kötü amaçlı belgeyi kurbanlara yaymak için Spear kimlik avı tekniği kullanılır.

Şekil: Kimlik avı yoluyla gönderilen Word belgesi

Belge kullanıcı tarafından yürütüldüğünde, proxy hizmetlerine bağlanacak ve SMP ve HTTPS bağlantı noktalarını çalıştıracaktır.

RTF dosyasındaki OLE nesnesi, saldırıyı yürütmek üzere ek dosyalar indirmek için Iframe etiketleri oluşturur.

Saldırının bir sonraki aşaması, kurbanın makinesindeki CVE-2022-30190 güvenlik açığından yararlanılarak gerçekleştirilir.

Bu, Microsoft’un Destek Teşhis Aracı’nı (MSDT) etkileyen ve ücretsiz olarak kullanılabilen kavram kanıtı (POC) istismar koduyla birlikte ortaya çıkan sıfır günlük bir güvenlik açığıdır.

Kötü amaçlı belge dosyaları aracılığıyla, bu güvenlik açığı, ek yüklerden yararlanan uzaktan kod kullanma girişimleri tarafından kullanılabilir.

Rapora göre, komut dizileri dizisi son yükü (RomCom indiricisi) başlattıktan sonra, dosya yeni kurbanı kaydetmek için uzak sunucuya bağlanıyor.

Yük başarıyla indirildiğinde, RomCom indirici Windows hizmetini başlatır.

RomCom indirici, üzerinde çalıştığı sistem hakkında da bilgi toplar. Örneğin:

  • Cihazın RAM boyutu
  • Kullanıcı adı
  • Makinenin ağ bağdaştırıcısı hakkında bilgi.

uzlaşma göstergesi

SHA256- A61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f
SHA256-3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97
SHA256-e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539
SHA256-07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d

“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.



Source link