Sistem kaynağı yönetimi, uzaktan gözetim, ağ yönetimi ve aracı kontrolü gibi kapsamlı yetenekler sunan ticari bir uzaktan erişim aracı olan Remcos RAT’ın dosyasız bir versiyonunu dağıtan karmaşık bir kimlik avı kampanyası.
Kampanya, Vietnam nakliye şirketlerinin kimliğine bürünen kimlik avı e-postaları aracılığıyla başlıyor ve alıcıları, güncellenmiş nakliye belgelerini görüntüleme bahanesiyle ekli Word belgelerini açmaları için kandırıyor.
Word dosyası açıldığında, güvenliği ihlal edilmiş URL’lerden uzak bir RTF şablonunu otomatik olarak indirerek enfeksiyon zincirini harekete geçirir.
URL, birden fazla kısaltma hizmeti aracılığıyla yönlendirme yapıyor (hxxps://go-shorty[.]killcod3[.]com/OkkxCrq ve hxxps://tnvs[.]de/e4gUVc) kötü amaçlı RTF dosyasını (w.doc) teslim etmeden önce.
Kampanya, nakliye belgelerindeki kötü amaçlı yükleri gizleyerek, enfeksiyon mekaniğine aşina olmayan kuruluşları hedef alarak gelişmiş kaçırma tekniklerini gösteriyor.
Kod Yürütme için CVE-2017-11882’den Yararlanma
İndirilen RTF dosyası, Microsoft Denklem Düzenleyicisi’nde (EQNEDT32.EXE) bilinen bir Uzaktan Kod Yürütme güvenlik açığı olan CVE-2017-11882’yi tetikleyen hazırlanmış, hatalı biçimlendirilmiş denklem verileri içeriyor.
Word uzak şablonu işlediğinde, katıştırılmış kabuk kodu otomatik olarak yürütülerek yük teslim sırasını başlatır. Güvenlik açığı, ifşa edildikten yıllar sonra bile geçerli bir saldırı vektörü olmaya devam ediyor ve bu da zamanında yama uygulanmasının önemini vurguluyor.
Kabuk kodu, Base64 kodlu PowerShell kodunu içeren, hafifçe gizlenmiş bir VBScript dosyasını indirir ve çalıştırır.
Bu PowerShell betiği, meşru bir sistem dosyası (Microsoft.Win32.TaskScheduler) olarak gizlenmiş ve bir görüntü dosyasına (optimized_MSI.png) yerleştirilmiş bir .NET DLL modülünü indirir.
.NET modülü iki amaca hizmet eder: Windows Görev Zamanlayıcı aracılığıyla kalıcılık ve Remcos yükünün belleğe yüklenmesi.
.NET modülü, Remcos aracı yükünü (sürüm 7.0.4 Pro) hxxps://idliya adresinden indirir.[.]com’a yerleştirir ve bunu işlem boşluğunu kullanarak yeni oluşturulan bir colorcpl.exe işlemine enjekte eder.
Yük hiçbir zaman diske dokunmaz ve tamamen bellekte kalır; bu, dosya tabanlı algılama mekanizmalarından kaçan bir tekniktir. Güvenliği ihlal edilen sistem, kötü amaçlı planlanmış görevi her dakika yürüterek sürekli kalıcılığı sağlar.
Altı Kategoride Remcos Yetenekleri
Bu Remcos çeşidi, altı özellik kategorisine dağıtılmış 211 komut kimliğini uygular: Sistem (ekran yakalama, dosya yönetimi, kayıt defteri düzenleme), Gözetim (keylogging, kamera/mikrofon kaydı, şifre kurtarma), Ağ (proxy yapılandırması, DNS yeniden yönlendirme), İletişim (uzaktan sohbet), Ekstra (DLL yükleme, kimlik bilgileri temizleme) ve Remcos yönetimi (güncellemeler, yeniden bağlanma).
Remcos veri dosyası tüm kampanya boyunca dosyasız kalsa da PowerShell işleminin belleğinden atılabilir. Şekil 13’te gösterildiği gibi yük, Microsoft Visual C++ ile derlenmiş 32 bitlik bir yürütülebilir dosyadır (EXE).
Fortinet, müşterilerini FortiGuard Web Filtreleme (kötü niyetli URL’leri engelleme), FortiMail kimlik avı önleme tespiti ve FortiGuard Antivirus imzaları (XML/Agent.EDC!tr.dldr, MSOffice/CVE_2017_11882.DMP!exploit, W32/Rescoms.B!tr) aracılığıyla korur.
Kuruluşlar, sıkı e-posta ağ geçidi denetimlerini uygulamalı, Microsoft Office’teki otomatik şablon indirmelerini kapatmalı ve CVE-2017-11882 yamalarını güncel tutmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.