
“Hollowquill” olarak adlandırılan sofistike bir kötü amaçlı yazılım kampanyası, dünya çapında akademik kurumlar ve devlet kurumları için önemli bir tehdit olarak ortaya çıktı.
Saldırı, şüphesiz kurbanları enfeksiyon zincirini başlatmaya ikna etmek için araştırma kağıtları, hibe başvuruları veya resmi hükümet tebliğleri olarak gizlenen silahlı PDF belgelerini kullanıyor.
Kötü amaçlı yazılım, başarı oranını artırmak için gelişmiş sosyal mühendislik taktikleri kullanır ve güvenlik bilincine sahip kullanıcılar için meşru görünen ikna edici tuzak belgeleri oluşturur.
Açıldıktan sonra, bu görünüşte zararsız PDF’ler, kalıcılık oluştururken tespitten kaçınmak için tasarlanmış karmaşık bir çok aşamalı enfeksiyon sürecini tetikler.
Broadcom analistleri, bu kampanyayı özellikle hedeflenen doğası ve sofistike kaçırma teknikleri nedeniyle tanımladılar.
Araştırmaları, saldırganların casusluk amacıyla hassas hükümet ve akademik verileri takip ettiğini göstermektedir.
Saldırı, bir .NET kötü amaçlı yazılım damlası içeren kötü amaçlı RAR arşivlerinin dağılımından başlayarak dikkate değer teknik gelişmişlik göstermektedir.
Bu ilk uzlaşma, kötü amaçlı yazılımın normal sistem işlemlerine karışmasına yardımcı olan meşru bir onedrive uygulaması da dahil olmak üzere birden fazla yükün dağıtılmasına yol açar.
Enfeksiyon mekanizması
İçi boş enfeksiyon zinciri, kullanıcılar meşru PDF belgelerini açtıklarında başlar.
Perde arkasında, başlangıç damlası, birincil yükün bellek tabanlı yürütülmesinden sorumlu bir Golang tabanlı kabuk kodu yükleyici yürütür ve dağıtır ve geleneksel güvenlik çözümleri tarafından algılama oranlarını önemli ölçüde azaltır.
Bu sofistike mekanizma, saldırganların uzlaşmış sistemlerden hassas bilgileri çıkarırken kalıcılığı korumasını sağlar.
// Simplified representation of initial .NET dropper code
public static void DeployPayload() {
string legitApp = "OneDrive.exe";
byte[] shellcodeLoader = GetEncryptedPayload();
// Deploy legitimate application as cover
File.WriteAllBytes(Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData)
+ "\\" + legitApp, GetLegitApp());
// Execute shellcode loader with obfuscated parameters
ExecuteInMemory(Decrypt(shellcodeLoader, GetSystemKey()));
}
Önerilen savunmalar, ofis makro komut dosyalarının devre dışı bırakılması, uygulama izin verilmesi uygulama ve bu gelişen tehdit manzarasına karşı koymak için DNS sorgusu anomalilerinin izlenmesini içerir.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial