Rust Tabanlı Enjektör, Çok Aşamalı Saldırıda XWorm ve Remcos RAT Kullanıyor

   Ağustos 9, 2023  Posted in HackRead


  • Pas Enjektör Ortaya Çıkışı: XWorm kötü amaçlı yazılımının ve Remcos RAT’ın dağıtımını kolaylaştıran yeni bir Rust tabanlı enjektör ortaya çıktı.
  • Çok Aşamalı Saldırı: Saldırı, kimlik avı e-postalarını, kötü amaçlı dosyalara yeniden yönlendirmeyi ve PowerShell betiklerinin yürütülmesini içeren karmaşık, çok aşamalı bir süreci takip eder.
  • Yenilikçi Araç Benimseme: Siber suçlular, güvenlik kontrollerini atlamak ve kötü amaçlı yükler göndermek için Red Team aracı “Freeze.rs” ve SYK Crypter’dan yararlanır.
  • Küresel Etki: C2 sunucu trafiği analizi, saldırının öncelikle Avrupa ve Kuzey Amerika’yı hedef alarak küresel erişimini gösterdiğini ortaya koyuyor.
  • Tehdit Gelişimi: Bulgular, siber tehditlerin gelişen doğasının altını çizerek, gelişmiş saldırı tekniklerine karşı daha fazla tetikte olma ihtiyacını vurguluyor.

Yakın tarihli bir siber güvenlik ifşasında, FortiGuard Labs, en hızlı büyüyen programlama dillerinden biri olan Rust’ta yazılmış yeni bir enjektör kullanan siber saldırılarda bir artış tespit etti.

Rust, kötü amaçlı yazılım geliştirmede yaygın olmamakla birlikte, 2019’dan beri kötü niyetli aktörler tarafından giderek daha fazla benimseniyor. Bu keşif, siber suçluların gelişen taktiklerine ve yeni araç ve tekniklerle yenilik yapma becerilerine ışık tutuyor.

Pas Enjektör Ortaya Çıkışı

Yeni keşfedilen Rust enjektörü, XWorm kötü amaçlı yazılımını kurbanların sistemlerine sokmak için bir platform olarak tanımlandı. FortiGuard Labs’ın analizi, Mayıs 2023’te enjektör faaliyetlerinde benzeri görülmemiş bir artış olduğunu ortaya koyuyor ve bu da siber suç stratejisinde önemli bir değişime işaret ediyor. Bu Rust tabanlı enjektör, kabuk kodunu enjekte etmek ve kapsamlı kontrol ve izleme yetenekleriyle tanınan bir uzaktan erişim Truva Atı (RAT) olan XWorm’u dağıtmak için tasarlanmıştır.

Gelişmiş Saldırı Zinciri

Saldırı, çeşitli şirketlere gönderilen acil bir sipariş ek talebi olduğu iddia edilen bir kimlik avı e-posta kampanyasıyla başlar. Bu akıllı sosyal mühendislik tekniğine, kurbanları uzak bir sunucudaki bir LNK dosyasına erişmek için “search-ms” protokolünden yararlanarak bir HTML dosyasına yönlendiren kötü amaçlı bir PDF dosyası eşlik ediyor.

LNK dosyası yürütüldükten sonra, bir PowerShell betiği, Rust enjektörü “Freeze.rs” ve çeşitli kötü amaçlı yazılım ailelerini dağıtmak için kullanılan bir araç olan SYK Crypter’ın dağıtımını başlatır. Nihai hedef, XWorm RAT’ı yüklemek ve bir komut ve kontrol (C2) sunucusuyla iletişim kurmaktır.

Rust Tabanlı Enjektör, Çok Aşamalı Saldırıda XWorm ve Remcos RAT Kullanıyor
Kimlik avı e-postası (FortiGuard Labs)

Freeze.rs ve SYK Crypter Nexus

FortiGuard Labs’ın ayrıntılı analizi, yeni enjektörün kökeninin Red Team aracı “Freeze.rs”ye kadar izini sürdü. Bu araç, Uç Nokta Tespiti ve Yanıtı (EDR) güvenlik kontrollerini atlayabilen yükler oluşturmak için tasarlanmıştır ve siber suçlular tarafından giderek daha karmaşık hale gelen yöntemleri vurgular.

Ayrıca, Discord sohbet platformu aracılığıyla kötü amaçlı yazılım ailelerini dağıtmak için yaygın olarak kullanılan bir araç olan SYK Crypter’ın dahil olması, siber suç operasyonlarının işbirlikçi ve gelişen doğasını daha da iyi örnekliyor.

Çok Aşamalı Enfeksiyon Süreci

Saldırının çok aşamalı bulaşma süreci, tespit edilmekten kaçınmak ve kontrolü sağlamak için bir dizi karmaşık manevra içerir. Kötü amaçlı kod, amacını gizlemek ve antivirüs tespitinden kaçınmak için AES, RC4 veya LZMA gibi çeşitli şifreleme algoritmaları kullanır. Şifreleme yöntemlerindeki bu esneklik, kötü amaçlı yüke bir karmaşıklık katmanı ekler.

XWorm ve Remcos İşbirliği

Başarılı bir şekilde enjekte edildikten sonra, yeraltı forumlarında ticareti yapılan ticari bir araç olan XWorm RAT, gelişmiş bir uzaktan erişim Truva Atı olan Remcos RAT ile işbirliği yapar. Birlikte, cihaz bilgilerinin toplanması ve ekran görüntülerinin alınmasından tuş vuruşlarının günlüğe kaydedilmesine ve güvenliği ihlal edilmiş sistemler üzerinde kapsamlı kontrol elde etmeye kadar değişen yeteneklerle çetin bir tehdit oluştururlar.

Rust Tabanlı Enjektör, Çok Aşamalı Saldırıda XWorm ve Remcos RAT Kullanıyor
Saldırı zinciri (FortiGuard Labs)

Küresel Etkiler

FortiGuard Labs’ın C2 sunucusunun trafiğine ilişkin analizi, Avrupa ve Kuzey Amerika’nın bu kötü niyetli kampanyanın birincil hedefleri olduğunu ortaya koyuyor. Saldırganların “search-ms” özelliği ve Rust enjektörü “Freeze.rs” gibi gelişmiş teknikleri kullanması, şüpheli e-postalar ve dosyalar ele alınırken daha dikkatli olunması gerektiğinin altını çiziyor.

Sonuç olarak, siber suçlular sistemlere sızmak ve sistemleri tehlikeye atmak için yenilikçi taktikler ve araçlar benimsediğinden, siber tehdit ortamı gelişmeye devam ediyor. FortiGuard Labs’ın son bulguları, Rust tabanlı enjektörlerin ortaya çıkışına ve bunların XWorm ve Remcos gibi gelişmiş kötü amaçlı yazılım yüklerini dağıtmadaki rolüne ışık tutuyor.

  1. P2PInfect: Kendi Kendini Çoğaltan Solucan Redis Örneklerine Vuruyor
  2. Güç Şebekelerini Hedeflemek İçin İstismar Edilen Eski Yazılım, Microsoft
  3. Dolandırıcılar, Kripto Kimlik Bilgilerini Toplamak İçin Google Dokümanlarını İstismar Ediyor
  4. Verileri Çalmak İçin MS Dynamics 365 Customer Voice’u Kötüye Kullanan Bilgisayar Korsanları
  5. Rus Midnight Blizzard Hacker’ları Hassas Saldırıda MS Ekiplerini Vurdu



Source link