Perception Point'ten araştırmacılar, OLE manipülasyonu yoluyla Microsoft Office belge şablonlarının meşru özelliklerinden yararlanarak bir uzaktan erişim truva atı olan NetSupport RAT'ı dağıtmak için yeni teknikler kullanan ABD kuruluşlarını hedef alan yeni bir kötü amaçlı yazılım kampanyası olan PhantomBlu'yu tespit etti.
Saldırganların, keylogging, dosya aktarımı ve ağ içinde yanal hareket dahil olmak üzere çeşitli kötü amaçlı faaliyetler için kurban makinelerin tespitinden kaçmasına ve kontrolünü ele geçirmesine olanak tanır.
Tehdit aktörleri, çalışanları algılamayı atlatmak için meşru bir e-posta dağıtım platformundan yararlanan kötü amaçlı DOCX dosyalarını indirmeye ikna etmek amacıyla sahte aylık maaş raporları içeren kimlik avı e-postaları gönderdi.
DOCX dosyasını açtıktan sonra kullanıcılara düzenlemeyi etkinleştirmeleri ve yazıcı simgesi kılığında gömülü bir OLE nesnesine tıklamaları talimatı verildi.
Simgeye tıklamak, kötü amaçlı bir LNK dosyası içeren bir arşivin indirilmesi için OLE şablon manipülasyonunu (T1221) tetikledi; bu, NetSupport RAT'ı sunmak için kullanılan T1221'in gözlemlenen ilk örneğidir.
Kötü Amaçlı Yazılımın Ayırt Edilmesi: Yemden Kontrole
Bir LNK dosyasının adli analizi, bir URL'den oldukça karmaşık bir komut dosyası getiren bir PowerShell damlalığının başka bir URL'yi aldığını, bir ZIP dosyası indirdiğini ve NetSupport RAT'ı yürütmek için onu paketinden çıkardığını ortaya çıkardı.
Komut dosyası ayrıca otomatik başlatma için bir kayıt defteri anahtarı ekleyerek bir kalıcılık mekanizması oluşturdu, ikincil URL'de atlanan kullanıcı aracısı geçişini araştırdı ve komut dosyasının işlevselliğini doğruladı.
İndirilen ZIP, sonuçta NetSupport RAT'ı (Client32.exe) bırakıp çalıştıran ve C2 sunucu altyapısını ortaya çıkaran başka bir PowerShell betiği içeriyordu.
Buna göre Algı Noktası, PhantomBlu, yeni bir yöntem kullanarak NetSupport RAT'ı sunar. Şifrelenmiş .docs dosyaları, yükü iletmek için OLE şablon enjeksiyonundan (T1221) yararlanarak taşıyıcı görevi görür.
Kötü amaçlı kodu şablonun içinde gizleyerek geleneksel güvenliği atlar; yürütme için kullanıcı etkileşimi gerektirir; bu, temel kimlik avı taktiklerine ve çalıştırılabilir dosyalara dayanan geçmiş NetSupport RAT kampanyalarından bir değişime işaret eder.
URL'ler parametreleri, bazı referans “.txt” dosyalarını ve ayrıca e-posta mesajı ayrıntılarını içerir; mesaj kimliğinde ve dönüş yolunda sırasıyla “sendinblue.com” ve “sender-sib.com” ifadeleri bulunur.
Sağlanan bilgiler, şüpheli URL'ler, ana bilgisayar adları ve IP adreslerinin yanında listelenen çeşitli dosya türleri (DOCX, ZIP, LNK ve EXE) için karmalar da dahil olmak üzere potansiyel bir kötü amaçlı yazılım kampanyasıyla ilgili Tehlike Göstergeleri (IOC'ler) gibi görünüyor.
Hızlı ve basit kötü amaçlı yazılım analizi için ANY.RUN'u şirketinize ekleyin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux'ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Güvenlik ekibiniz için kişiselleştirilmiş bir ANY.RUN demosu edinin:
İş e-postanızı kullanarak bugün bir arama planlayın
IOC'ler
Hash'ler (SHA-256)
E-posta – 16e6dfd67d5049ffedb8c55bee6ad80fc0283757bc60d4f12c56675b1da5bf61
Docx – 1abf56bc5fbf84805ed0fbf28e7f986c7bb2833972793252f3e358b13b638bb1
Enjekte edilmiş ZIP – 95898c9abce738ca53e44290f4d4aa4e8486398de3163e3482f510633d50ee6c
LNK dosyası – d07323226c7be1a38ffd8716bc7d77bdb226b81fd6ccd493c55b2711014c0188
Son Posta Kodu – 94499196a62341b4f1cd10f3e1ba6003d0c4db66c1eb0d1b7e66b7eb4f2b67b6
Client32.exe – 89f0c8f170fe9ea28b1056517160e92e2d7d4e8aa81f4ed696932230413a6ce1
URL'ler ve Ana Bilgisayar Adları
senin kendi martın[.]com/güneş[.]txt
birinci ajans[.]com/depbrndksokkkdkxoqnazneifidmyyjdpji[.]txt
senin kendi martın[.]iletişim
birinci ajans[.]iletişim
parab masala[.]iletişim
tapouttv28[.]iletişim
IP Adresleri
192[.]236[.]192[.]48
173[.]252[.]167[.]50
199[.]188[.]205[.]15
46[.]105[.]141[.]54