Silahlı Cisco Webex Meetings Uygulamasını Kullanan Bilgisayar Korsanları


Silahlandırılmış Cisco Webex Meetings Uygulaması

Bu TTP’leri sınıflandırmak ve potansiyel tespit noktalarını belirlemek için Mitre ATT&CK çerçevesinin kullanıldığı, saldırı yaşam döngüsü boyunca saldırganların taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) detaylandıran yeni bir bilgi çalma kampanyası.

Araştırmacılar, kampanyanın davranışını ve komuta ve kontrol sunucusu (C2) ile olan iletişimini inceleyerek, ilk erişimden kimlik bilgileri hırsızlığına kadar adım adım ilerlemeyi ortaya koyuyor.

Saldırganlar, kullanıcıları yasal yazılım gibi görünen şifre korumalı arşivleri (ZIP) indirmeleri için kandırmak amacıyla sosyal mühendislik kullandı.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Arşiv dosya adları parolayı (!$Full_pAssW0rd_4434_$etup.zip) içeriyordu ve bir RAR arşivi ve metin dosyaları içeriyordu.

Benzer dosya adları için Virustotal arama sonuçları

VirusTotal araştırması, 2024’ten bu yana gönderilen yaklaşık 400 benzer dosya adını ortaya çıkardı; bu da daha geniş bir kampanyaya işaret ediyor; bu da saldırganların, korsan yazılım için ortak arama terimlerinden yararlanarak ve “!@Full_FiIe_lnSide@!” gibi kalıpları birleştirerek kullanıcıları hedeflediklerini gösteriyor. veya dosya adlarının içinde “!@passcode_”.

Bir saldırgan, gizli bir yükleyici programı başlatmak için gerçek ptService.exe modülündeki DLL yandan yükleme güvenlik açığından yararlanarak, kullanıcıyı yasal Cisco Webex yükleyicisi (Setup.exe) kılığına girmiş kötü amaçlı bir dosyayı çalıştırması için kandırdı.

Bundan sonra, yükleyici, ne yaptığını daha da fazla gizlemek için kendisini farklı, güvenilir bir sürece (more.com) soktu; bu, sosyal mühendislik (T1204), DLL yan yüklemesini (T1574.002) birleştiren çok aşamalı bir saldırıdır. ) ve proses enjeksiyonu (T1055).

Kötü amaçlı yazılım yükleyicisi HijackLoader, kimlik bilgilerini çalan ve iki MITRE ATT&CK tekniği içeren bir C2 sunucusuyla kalıcı bir bağlantı kuran bir AutoIT komut dosyasını (GraphicsFillRect.au3) getirir ve çalıştırır.

Komut dosyasını indirmek için T1105 (Giriş Aracı Aktarımı) ve IP adresine göre Vidar botnet’e ait olduğu tanımlanan C2 sunucusuyla iletişimi sürdürmek için T1071.001 (Uygulama Katmanı Protokolü: Web Protokolleri).

C2 sunucusuna sızma

Kötü amaçlı bir AutoIT komut dosyasının (GraphicsFillRect.au3), Chrome ve Firefox tarayıcılarından ve Zoom’dan oturum açma verilerini okurken bir C2 sunucusuna (78.47.78.87) bağlantı kurduğu tespit edildi ve bu, veri sızıntısı olduğunu gösteriyor.

Trellix’e göre komut dosyası, ProgramData klasörüne ek yürütülebilir dosyalar da (GCGHJEBGHJ.exe ve AFIEGIECGC.exe) indirdi ve bu da olası başka kötü amaçlı etkinliklerin göstergesiydi.

ek PE dosyalarını indirir

Kötü amaçlı yazılım, Kullanıcı Hesabı Denetimini atlamak ve yönetici ayrıcalıkları kazanmak için COM Yüksekliği Takma Adı güvenlik açığından yararlandı ve ardından kendisini dışlama listesine ekleyerek Windows Defender’ı devre dışı bıraktı.

Daha sonra kötü amaçlı yazılım, şüpheli bir IP adresine bağlanan ve bir kripto madencisini indiren MSBuild.exe dosyasına kendini enjekte etti.

Son olarak, kötü amaçlı yazılım, bir dizi karmaşık komutu yürüten bir PowerShell betiği başlattı ve sonuçta kötü amaçlı bir DLL’yi meşru bir VMware işlemi aracılığıyla yan yüklemeye başladı.

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free



Source link