Araştırmacılar, “IronWind” adı verilen yeni bir ilk erişim indiricisi sunmak üzere Orta Doğu ve Kuzey Afrika Devlet Kurumlarını hedef alan yeni bir kimlik avı kampanyası keşfettiler. Bu indiriciyi, bir kabuk kodunu indiren ek yük taşıma aşamaları takip eder.
Kampanyaların çoğunda Dropbox bağlantıları kullanılıyordu; bu bağlantılar daha sonra tespit mekanizmalarından kaçınmak için XLL ve RAR dosya eklerinin kullanılmasına dönüştü. Üstelik bu tehdit aktörlerinin faaliyetleri Molerats, Gaza Cybergang, Frankenstein ve WIRTE ile örtüşüyor.
Silahlandırılmış XLL ve RAR Dosyaları
Kötü niyetli aktör, Orta Doğu’daki devlet kurumlarına yönelik kimlik avı saldırıları başlatmak için Dışişleri Bakanlığı’na ait ele geçirilen bir e-posta hesabını kullanıyor.
E-posta, alıcılarını ekonomik meselelerle ilgili bir mesajla kandırmak için kimlik avı taktiklerini kullandı. E-posta, tıklandığında zararlı bir Microsoft PowerPoint Eklentisi (PPAM) dosyasını indiren Dropbox dosyasına bir köprü içeriyordu.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Bu dosya version.dll (IronWind), timeout.exe ve CollectNetworkInfo.vbs gibi üç dosyayı bırakan bir makro içerir.
Timeout.exe dosyası, C2 etki alanına bir HTTP GET isteği gönderen IronWin’i dışarıdan yüklemek için kullanıldı (th Economics).[.]net), Ağustos 2023’teki analize göre.
C2 bu talebi aldığında, enfeksiyon zincirinin üçüncü aşaması olan bir kabuk koduyla yanıt verir.
Bu kabuk kodu, WMI sorgularını gerçekleştirmek için .NET yükleyicilerini kullanır ve ayrıca kötü amaçlı yazılımın dördüncü aşamasını indirir; bu, C# ile yazılmış bir .NET kullanım sonrası kitaplığı olan SharSploit’i kullanan başka bir .NET yürütülebilir dosyasıdır.
PPAM’den RAR’a geçiş
Eklerin Ekim 2023’te PPAM’den RAR dosyasına geçtiği gözlemlendi. RAR dosyası, IronWind ve propsys.dll dosyasını dışarıdan yükleyen bir tabcal.exe dosyasından oluşuyor. Kötü amaçlı yazılım dağıtımının diğer aşamaları aynı kaldı.
Proofpoint tarafından bu IronWind enfeksiyonu hakkında, tehdit aktörü, tehlikeye girme yolu ve diğer hayati bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
SHA256 Değeri
- 9b2a16cbe5af12b486d31b68ef397d6bc48b2736e6b388ad8895b588f1831f47
- 5d773e734290b93649a41ccda63772560b4fa25ba715b17df7b9f18883679160
- 19f452239dadcd7544f055d26199cb482c1f6ae5486309bde1526174e926146a
- A4bf96aee6284effb4c4fe0ccfee7b32d497e45408e253fb8e1199454e5c65a3
- 26cb6055be1ee503f87d040c84c0a7cacb245b4182445e3eee47ed6e073eca47
- cbb89aac5a2c93a02305846f9353b013e6703813d4b6baff8eb89ee938647af3
- c98dc0b930ea67992921d9f0848713deaa5bba8b4ba21effd0b00595dd9ed28c
- ac227dd5c97a36f54e4fa02df4e4c0339b513e4f8049616e2a815a108e34552f
- 6ab5a0b7080e783bba9b3ec53889e82ca4f2d304e67bd139aa267c22c281a368
- e2ba2d3d2c1f0b5143d1cd291f6a09abe1c53e570800d8ae43622426c1c4343c
- d8cde28cf2a5884daddf6e3bc26c80f66bc3737e426b4ba747d49d154999fbc1
- 81fc4a5b1d22efba961baa695aa53201397505e2a6024743ed58da7bf0b4a97f
- 3b2a6c7a39f49e790286185f2d078e17844df1349b713f278ecef1defb4d6b04
- 7bddde9708118f709b063da526640a4132718d3d638505aafce5a20d404b2761
- 883e035f893483b9921d054b3fa014cef90d90b10dcba7d342def8be2e98ce3c
- 4b0a48d698240504c4ff6275dc735c8162e57f92224fb1d2d6393890b82a4206
- 4018b462f2fcf1b0452ecd88ab64ddc5647d1857481f50fa915070f5f1858115
- 3d80ea70b0c00d12f2ba2c7b1541f7d0f80005a38a173e6962b24f01d4a2a1de
Alanlar
- kapsayıcı ekonomi[.]iletişim
- sağlık başlığı[.]iletişim
- ekonomi[.]açık
IP (C2)
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.