Silahlandırılmış XLL ve RAR dosyalarını kullanan TA402 Grubu Kötü Amaçlı Yazılım Sağlıyor


Araştırmacılar, “IronWind” adı verilen yeni bir ilk erişim indiricisi sunmak üzere Orta Doğu ve Kuzey Afrika Devlet Kurumlarını hedef alan yeni bir kimlik avı kampanyası keşfettiler. Bu indiriciyi, bir kabuk kodunu indiren ek yük taşıma aşamaları takip eder.

Kampanyaların çoğunda Dropbox bağlantıları kullanılıyordu; bu bağlantılar daha sonra tespit mekanizmalarından kaçınmak için XLL ve RAR dosya eklerinin kullanılmasına dönüştü. Üstelik bu tehdit aktörlerinin faaliyetleri Molerats, Gaza Cybergang, Frankenstein ve WIRTE ile örtüşüyor.

Silahlandırılmış XLL ve RAR Dosyaları

Kötü niyetli aktör, Orta Doğu’daki devlet kurumlarına yönelik kimlik avı saldırıları başlatmak için Dışişleri Bakanlığı’na ait ele geçirilen bir e-posta hesabını kullanıyor.

E-posta, alıcılarını ekonomik meselelerle ilgili bir mesajla kandırmak için kimlik avı taktiklerini kullandı. E-posta, tıklandığında zararlı bir Microsoft PowerPoint Eklentisi (PPAM) dosyasını indiren Dropbox dosyasına bir köprü içeriyordu.

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.

Bu dosya version.dll (IronWind), timeout.exe ve CollectNetworkInfo.vbs gibi üç dosyayı bırakan bir makro içerir.

Timeout.exe dosyası, C2 etki alanına bir HTTP GET isteği gönderen IronWin’i dışarıdan yüklemek için kullanıldı (th Economics).[.]net), Ağustos 2023’teki analize göre.

C2 bu talebi aldığında, enfeksiyon zincirinin üçüncü aşaması olan bir kabuk koduyla yanıt verir.

Son Kampanya Akışı (Kaynak: Proofpoint)
Son Kampanya Akışı (Kaynak: Proofpoint)

Bu kabuk kodu, WMI sorgularını gerçekleştirmek için .NET yükleyicilerini kullanır ve ayrıca kötü amaçlı yazılımın dördüncü aşamasını indirir; bu, C# ile yazılmış bir .NET kullanım sonrası kitaplığı olan SharSploit’i kullanan başka bir .NET yürütülebilir dosyasıdır.

PPAM’den RAR’a geçiş

Eklerin Ekim 2023’te PPAM’den RAR dosyasına geçtiği gözlemlendi. RAR dosyası, IronWind ve propsys.dll dosyasını dışarıdan yükleyen bir tabcal.exe dosyasından oluşuyor. Kötü amaçlı yazılım dağıtımının diğer aşamaları aynı kaldı.

Proofpoint tarafından bu IronWind enfeksiyonu hakkında, tehdit aktörü, tehlikeye girme yolu ve diğer hayati bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergeleri

SHA256 Değeri

  • 9b2a16cbe5af12b486d31b68ef397d6bc48b2736e6b388ad8895b588f1831f47
  • 5d773e734290b93649a41ccda63772560b4fa25ba715b17df7b9f18883679160
  • 19f452239dadcd7544f055d26199cb482c1f6ae5486309bde1526174e926146a
  • A4bf96aee6284effb4c4fe0ccfee7b32d497e45408e253fb8e1199454e5c65a3
  • 26cb6055be1ee503f87d040c84c0a7cacb245b4182445e3eee47ed6e073eca47
  • cbb89aac5a2c93a02305846f9353b013e6703813d4b6baff8eb89ee938647af3
  • c98dc0b930ea67992921d9f0848713deaa5bba8b4ba21effd0b00595dd9ed28c
  • ac227dd5c97a36f54e4fa02df4e4c0339b513e4f8049616e2a815a108e34552f
  • 6ab5a0b7080e783bba9b3ec53889e82ca4f2d304e67bd139aa267c22c281a368
  • e2ba2d3d2c1f0b5143d1cd291f6a09abe1c53e570800d8ae43622426c1c4343c
  • d8cde28cf2a5884daddf6e3bc26c80f66bc3737e426b4ba747d49d154999fbc1
  • 81fc4a5b1d22efba961baa695aa53201397505e2a6024743ed58da7bf0b4a97f
  • 3b2a6c7a39f49e790286185f2d078e17844df1349b713f278ecef1defb4d6b04
  • 7bddde9708118f709b063da526640a4132718d3d638505aafce5a20d404b2761
  • 883e035f893483b9921d054b3fa014cef90d90b10dcba7d342def8be2e98ce3c
  • 4b0a48d698240504c4ff6275dc735c8162e57f92224fb1d2d6393890b82a4206
  • 4018b462f2fcf1b0452ecd88ab64ddc5647d1857481f50fa915070f5f1858115
  • 3d80ea70b0c00d12f2ba2c7b1541f7d0f80005a38a173e6962b24f01d4a2a1de

Alanlar

  • kapsayıcı ekonomi[.]iletişim
  • sağlık başlığı[.]iletişim
  • ekonomi[.]açık

IP (C2)

Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.



Source link