Blackpoint araştırmacıları tarafından detaylandırılan bir kötü amaçlı yazılım dağıtım kampanyası, kurumsal savunmaları tetiklemeden veya güvenlik araştırmacılarının yakından incelemesini tetiklemeden çalışanlara bilgi hırsızlığı sağlamak için etkileyici bir dizi hile kullanıyor.
Saldırganlar, kullanıcıları Çalıştır iletişim kutusu aracılığıyla bir komutu manuel olarak yapıştırmaları ve yürütmeleri için kandırmak amacıyla sahte insan doğrulama sayfaları (CAPTCHA sayfaları) kullanarak Amatera Stealer’ı hedef Windows bilgisayarlara yüklemeyi amaçlıyor.
Ve işte burada işler ilginçleşiyor. Genellikle söz konusu komut PowerShell’de yürütülür ancak bu kampanyada saldırganlar onu doğrudan çağırmaz.
“Sağlanan komut bunun yerine kötüye kullanıyor SyncAppvPublishingServer.vbsAraştırmacılar, Uygulama Sanallaştırma (App-V) ile ilişkili imzalı bir Microsoft betiği olduğunu açıkladı.
“Normal şartlarda bu script, sanallaştırılmış kurumsal uygulamaları yayınlamak ve yönetmek için kullanılıyor. Bu kampanyada, [Living Off the Land Binary]Saldırganın güvenilir bir Microsoft bileşeni aracılığıyla PowerShell yürütmesine proxy yapmasına olanak tanır.
Enfeksiyon zincirinin kullandığı wscript.exebir Windows komut dosyası oluşturma aracıdır ve ardından bir App-V yayınlama komut dosyasını çalıştırır, ancak yalnızca App-V’nin mevcut ve etkin olduğu sistemlerde çalışabilir: modern Windows Server ile Windows 10 ve 11 Enterprise ve Education sürümlerini çalıştıran makineler, yani daha yüksek değerli kurumsal (kurumsal) sistemler. Hedef, Home veya Pro kurulumu çalıştıran kişisel bir bilgisayardaysa, bulaşma süreci başarısız olur.
Komutun manuel olarak yürütülmediğini (sanal alanda “patlatmanın” aksine) tespit ederse de başarısız olur.
“Doğru” hedef sistemde, enfeksiyon zinciri devam edecek ve bellek içinde yürütülen yükleyici komut dosyası, genel bir Google Takviminden (.ics) ek yükleyici aşamalarını almasına yardımcı olacak dosya.
Sonraki aşamada, şifrelenmiş ve sıkıştırılmış bir PowerShell yükünü tutan bir PNG görüntü dosyası alınır ve işlenir (ayrıca bellekte) ve Amatera Stealer olarak tanımlanan bir Windows PE yükünün alınması ve nihai bellek içi yürütülmesi için aşamayı ayarlar.
Dikkat edilmesi gerekenler
Araştırmacılar, “Bu kampanyayı dikkate almaya değer kılan şey, yükün kendisi değil, yol boyunca dikkat çekmekten nasıl kasıtlı olarak kaçındığıdır” dedi.
“Aktör, imzalı Microsoft bileşenlerini, kullanıcı davranışına dayalı yürütme kapılarını, üçüncü taraf hizmetlerini ve tamamen bellek içi aşamaları bir araya getirerek güvenilirlik için optimizasyon yapıyor. Bu, bariz kötü amaçlı yazılımları tespit etmek için oluşturulmuş ortamları aşabilen, alarmları tetiklemeden sessizce başarılı olabilen ve yalnızca hasar zaten oluştuktan sonra yüzeye çıkabilen türden bir etkinliktir.”
Araştırmacılar, çalışanları sahte CAPTCHA’ları tanıma konusunda eğitmenin ve Windows Çalıştır iletişim kutusuna erişimi kısıtlamanın yanı sıra, kuruluşlara şüpheli yürütme kalıpları için kapsamlı PowerShell günlüğe kaydetme ve izleme olanağı sağlamalarını, gerekli olmadıkları durumlarda App-V bileşenlerini kaldırmalarını (veya App-V komut dosyalarından kaynaklanan PowerShell yürütmesinin uyarıları tetikleyeceğinden emin olmalarını) tavsiye ediyor.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!