.webp "ShadowCat Operasyonu Hindistan'daki Kullanıcılara Saldırmak İçin Silahlandırılmış Ofis Belgesini Kullanıyor")
Araştırmacılar, spam e-postaları aracılığıyla dağıtılan ve bir .NET yükleyicisi ve sahte bir Word belgesi bırakan bir PowerShell betiğini tetikleyen kötü amaçlı LNK dosyalarını kullanan yeni bir saldırı kampanyası (“Operation ShadowCat”) tespit ettiler.
Yükleyici, Gzip ile sıkıştırılmış bir yük içeren bir steganografik PNG alır, bunu bellekte açar ve yürütülmek üzere PowerShell işlemine enjekte eder; bu bellek içi yürütme güvenlik algılamasını atlatır.
Son yük ise saldırganlara kurbanın sistemi üzerinde dosya manipülasyonu, komut yürütme, ağ taraması, veri sızdırma ve yanal hareket için kimlik bilgisi çıkarma dahil olmak üzere kapsamlı kontrol sağlayan Go tabanlı bir RAT’tır.
Bir saldırı, kötü amaçlı bir PowerShell betiğini çalıştırmak için Word belgesi olarak gizlenmiş bir .LNK dosyasını kullanıyor. Bu betik, coğrafi konuma dayalı yürütme engelleme özelliğini içeriyor, karakter manipülasyonuyla dizeleri karartıyor, kendini imha ediyor, sahte bir belge oluşturuyor ve kötü amaçlı bir DLL’yi dinamik olarak üretip yürütüyor; böylece tespit edilmekten kaçınmak ve yükünü yürütmek için çok aşamalı bir yaklaşım sergiliyor.
.webp)
PowerShell Komut Dosyası Coğrafi Sınırlamayı Kullanır
Başlangıçta kurbanın konumunu “Get-WinHomeLocation” kullanarak belirler ve ülke önceden tanımlanmış bir listeyle eşleşirse sonlanır. Daha sonra komut dosyası, muhtemelen kötü amaçlı yükler veya komutlar içeren, gizlenmiş dizeleri çözer.
Aynı boyuttaki mevcut LNK dosyalarını silerek ve orijinal LNK’yi DOCX dosyasına dönüştürerek bir yem belgesi oluşturmaya devam eder; bu da olası bir dosya tabanlı enfeksiyon vektörünü gösterir.
.webp)
Yapılan analizler, Hindistan siyasetiyle ilgilenen kişileri kandırmak için parlamento sorusu kisvesi altında bir tuzak belgenin kullanıldığı hedefli bir saldırıyı ortaya koyuyor.
PowerShell betiği çalıştırıldığında Base64 kodlu verilerden kötü amaçlı bir DLL’yi indirir ve kodunu çözer.
DLL daha sonra, uygun yükü seçmek için bir sistem mimarisi kontrolünden yararlanarak, görünüşte zararsız bir PNG görüntüsünden kabuk kodunu çıkarmak için steganografiyi kullanır.
Donut çerçevesi kullanılarak oluşturulan kabuk kodu, en sonunda çalıştırılmak üzere belleğe yüklenir; bu da tespit edilmekten kaçınmak için tasarlanmış karmaşık bir saldırının göstergesidir.
.webp)
Kötü amaçlı yazılım API adlarını şifreler ve ikili dosyasına gömer. Çalıştırıldığında bunları şifresini çözer, askıya alınmış bir PowerShell işlemi oluşturur, kabuk kodunu yazar ve gömülü kodu belleğine çıkarır.
Daha sonra, askıya alınan işlemin iş parçacığına, iş parçacığı yeniden başlatıldığında kabuk kodunu yürütmek için bir asenkron yordam çağrısı (APC) sıraya koyar ve iş parçacığını devam ettirerek APC’yi tetikler ve kabuk kodu yürütmeyi başlatır, bu da gömülü kötü amaçlı ikili dosyanın yüklenmesine ve yürütülmesine yol açar.
.webp)
Cyble Research and Intelligence Labs analistleri, gizli iletişim ve dosya işlemleri için Yamux (çoklama) ve Secsy goftp (FTP) gibi herkese açık kütüphaneleri kullanan karmaşık Go tabanlı kötü amaçlı yazılım (8,4 MB) tespit etti.
Kötü amaçlı yazılım, dizin gezinme, dosya işleme (oluşturma, okuma, yazma, vb.), işlem sonlandırma, ağ tarama ve kimlik bilgisi hırsızlığı araçları (Mimikatz, Rubeus) gibi işlevlerle RAT (Uzaktan Erişim Truva Atı) davranışı sergiliyor.
Uzaktan kontrol için Netcat benzeri özelliklerden yararlanma potansiyeline sahip olan bu sistem, C&C iletişimi için 443 numaralı port üzerinden WebSockets kullanıyor.
İlginçtir ki, kötü amaçlı yazılım Rusça konuşulan bölgeleri hedef almaktan kaçınıyor ve bu da olası bir Rus bağlantısı olan finansal amaçlı bir RaaS grubuna işaret ediyor.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo