Bilgisayar korsanları, kuruluşlarda yaygın olarak kullanıldığını bilerek Oracle WebLogic Sunucularından yararlanıyor.
Tehdit aktörleri, hassas verilere yetkisiz erişim elde etmek ve daha fazla istismar için yollar açan arka kapılar kurmak için WebLogic sunucularında bulunan güvenlik açıklarını kullanabilir.
FortiGuard Labs yakın zamanda 8220 Çetesinin, antivirüs kaçırma aracı olan ScrubCrypt’i kullanarak geçen yıl istismar edilebilir Oracle WebLogic sunucularına saldırılar başlattığını ortaya çıkardı.
Yakın zamanda bir tehdit aktörü, VenomRAT yükünü yüklemek için ScrubCrypt’i kullanan BatCloak’ı içeren karartılmış bir Batch dosyasını indirerek kötü amaçlı SVG dosyaları içeren bir kimlik avı e-postası dağıttı.
Antivirüs tespitini atlayarak VenomRAT v6, Remcos, XWorm, NanoCore ve kripto cüzdan hırsızı gibi eklentileri kurbanların sistemlerine yüklemek için bir C2 bağlantısını korur.
Saldırgan, paketin teslim edildiğini iddia eden bir kimlik avı e-postasıyla başlar ve bu e-postaya base64 kodlu verileri içeren “INV0ICE_#TBSBVS0Y3BDSMMX.svg” başlıklı bir SVG dosyası ekler.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
ECMAScript açıldığında, onu karmaşık bir toplu iş dosyası içeren “INV0ICE_#TBSBVS0Y3BDSMMX.zip” adlı bir ZIP dosyasına dönüştürür.
BatCloak aracından olduğu varsayılan bu araç, bir PowerShell dosyasını “C:\Users\Public\xkn.exe” dizinine kopyalıyor ve aktivitelerini parametrelerle gizliyor.
Verilerin kodunu çözerek gizli bir dizine “pointer.png”, ardından “pointer.cmd” olarak kaydeder. “Pointer.cmd” çalıştırıldığında tüm dosyalar “cmd /c del” kullanılarak silinir.
“Pointer.cmd” dosyası, okunmasını zorlaştıracak şekilde kasıtlı olarak karışık dizelerle dolduran bir ScrubCrypt toplu iş dosyasıdır.
Base64 ile kodlanmış, AES-CBC kullanılarak şifresi çözülmüş ve GZIP kullanılarak sıkıştırılmış iki veri yükünden oluşur.
Bir bayt dizisinden bir derleme yüklemek ve kodunu yürütmek için PowerShell’i kullanır.
İlk veri kalıcılığı sağlar ve yönetici ayrıcalıklarını ve bir hata ayıklayıcının varlığını kontrol eden kötü amaçlı yazılımları yükler.
Ayrıca eğer kullanıcı özel haklara sahipse script kendisini “strt.cmd” dosyasına kopyalar ve bir görev planlar.
Aksi halde kendisini “StartUp” klasörüne kopyalar. Fortinet, daha sonra VenomRAT’ı başlatmak için “P” adı verilen bir derlemeyi yüklediğini söyledi.
İkinci veri, uzaktan erişimi mümkün kılmak için AMSI ve ETW’den kaçar.
VenomRAT adı verilen değiştirilmiş bir Quasar RAT gibi yetkisiz sistem erişimini yayan spam e-postalar, bu kötü amaçlı yazılımı dağıtır.
.webp)
Kurban ayrıntılarını komuta ve kontrol (C2) sunucusuna geri gönderir. Hata ayıklama, eklentilerin edinilmesine yönelik canlı tutma oturumlarını ve mekanizmalarını gösterir.
Siparişleri aldıktan sonra, dosya adı tabanlı PowerShell komutlarını kullanarak eklentileri açar ve saklar.
Aşağıda, kullanılan tüm eklentilerden bahsettik: –
Kampanya, çeşitli düzeyde belirsizlik içeriyor ve VenomRAT’ı ScrubCrypt aracılığıyla sessizce yaymak için kimlik avı e-postaları ve kötü amaçlı yazılımların yanı sıra ona kalıcılık, kaçınma mekanizmaları ve zarar verici kodlar çalıştırma araçları sağlayan diğer kötü amaçlı yazılım eklentilerini kullanıyor.
Güvenlik çözümleri tarafından tespit edilmeden sistemlere sızmak için stratejilerin uyarlanması ve mevcut geniş yelpazedeki işlevselliklerin kullanılmasındaki özgünlük, güçlü güvenlik önlemleri gerektiren modern tehditlerin ne kadar karmaşık olduğunu göstermektedir.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.