Yeni gözlemlenen bir kimlik avı kampanyası, daha önce belgelenmemiş bir arka kapıyı Windows sistemlerinde dağıtmak için yakın zamanda açıklanan Follina güvenlik açığından yararlanıyor.
Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Rozena, saldırganın makinesine uzak bir kabuk bağlantısı enjekte edebilen bir arka kapı kötü amaçlı yazılımıdır.” söz konusu bu hafta bir raporda.
olarak izlendi CVE-2022-30190şimdi yamalı Microsoft Windows Destek Tanılama Aracı (MSDT) uzaktan kod yürütme güvenlik açığı, Mayıs 2022’nin sonlarında ortaya çıktığından bu yana son haftalarda yoğun bir şekilde istismar edildi.
Fortinet tarafından gözlemlenen en son saldırı zincirinin başlangıç noktası, silahlı bir saldırıdır. Ofis belgesi açıldığında, bir Anlaşmazlık CDN URL’si bir HTML dosyasını almak için (“index.htm“) bu da, aynı CDN ek alanından sonraki aşama yüklerini indirmek için bir PowerShell komutu kullanarak tanılama yardımcı programını çağırır.
Buna Rozena implantı (“Word.exe”) ve MSDT işlemlerini sonlandırmak, Windows Kayıt Defteri değişikliği yoluyla arka kapının kalıcılığını sağlamak ve zararsız bir Word belgesini bir tuzak olarak indirmek için tasarlanmış bir toplu iş dosyası (“cd.bat”) dahildir. .
Kötü amaçlı yazılımın temel işlevi, saldırganın ana bilgisayarına bir ters kabuk başlatan kabuk kodunu enjekte etmektir (“microsofto.duckdns”[.]org”), sonuçta saldırganın bilgileri izlemek ve yakalamak için gereken sistemin kontrolünü ele geçirmesine izin verirken, aynı zamanda güvenliği ihlal edilen sisteme bir arka kapı sağlar.
Kötü amaçlı Word belgeleri aracılığıyla kötü amaçlı yazılım dağıtmak için Follina kusurunun kullanılması, sosyal mühendislik saldırılarının güvenmek gibi kötü amaçlı yazılımları dağıtmak için Microsoft Excel, Windows kısayolu (LNK) ve ISO görüntü dosyalarında ifade, QBot, IcedIDve yaban arısı bir kurbanın cihazına.
Dropper’ların, doğrudan dropper’ı veya ek olarak parola korumalı bir ZIP’i, açıldığında damlalığı çıkaran bir HTML dosyası veya e-postanın gövdesinde damlalığı indirmek için bir bağlantı içeren e-postalar aracılığıyla dağıtıldığı söylenir.
Nisan ayı başlarında tespit edilen saldırılar, belirgin bir şekilde XLM makrolu Excel dosyalarına yer verirken, Microsoft’un aynı zamanlarda makroları varsayılan olarak engelleme kararının, tehdit aktörlerini aşağıdaki gibi alternatif yöntemlere yönelmeye zorladığı söyleniyor. HTML kaçakçılığı yanı sıra .LNK ve .ISO dosyaları.
Geçen ay Cyble adlı bir kötü amaçlı yazılım aracının ayrıntılarını açıkladı Kuantum siber suçlu aktörleri kötü niyetli .LNK ve .ISO dosyaları oluşturma yetenekleriyle donatmak için yeraltı forumlarında satılmaktadır.
şunu belirtmekte fayda var makrolar denenmiş ve test edilmiş saldırı vektörü Kimlik avı e-postaları veya başka yollarla Windows sistemlerine fidye yazılımı ve diğer kötü amaçlı yazılımları bırakmak isteyen düşmanlar için.
Microsoft o zamandan beri geçici olarak duraklatıldı The Hacker News’e “kullanılabilirliği artırmak için ek değişiklikler” yapmak için zaman ayırdığını söyleyen şirket ile internetten indirilen dosyalarda Office makrolarını devre dışı bırakma planları.