SpiderLabs Tehdit Avı ekibi yakın zamanda tehdit aktörlerinin, Xworm uzaktan erişim Truva atını (sıçan) çok fazlı bir enfeksiyon zinciri aracılığıyla yaymak için bir silah olarak gerçek Screencnect uzaktan yönetim uygulamasını kullandıkları bir siber kampanya keşfetti.
Saldırı, kimlik avı, kötü niyetli ve aldatıcı sosyal medya yayınları da dahil olmak üzere sosyal mühendislik taktikleriyle başlar, kullanıcıları GPTGROK gibi AI temalı web sitelerini taklit etmeye cezbetir[.]anhemvn6 gibi şüpheli alanlara yönlendiren AI[.]com.
Mağdurlar, aslında screenconnect.clientsetup.msi ikili olan “Creation_Made_BY_GROKAI.MP4 grok.com” gibi bir MP4 dosyası olarak maskelenen gizlenmiş bir yükleyiciyi indirmek için kandırılıyor.
Analiz, saldırganların kötü niyetli konfigürasyonları meşru dijital imza içine yerleştirmeye yönelik outenticode imzalarını manipüle ettiğini ve değiştirilmiş ikili uç nokta algılama ve yanıt (EDR) uyarılarını atlarken TEMP dizinine düşmesine ve yürütülmesine izin verdiğini ortaya koyuyor.
Gizli çalıştırmak için önceden yapılandırılmış olan müşteri[.]Screenconnect[.]com “? E = Access & y = Konuk ve H = Örnek-Keoxeq-Relay gibi parametreleri kullanma[.]Screenconnect[.]com & p = 443 & s = 44f
Yürütme zinciri, Firless Ladys içerir
Uzaktan erişim sağlandıktan sonra, kampanya, mshta.exe’yi gizlenmiş komut dosyalarını çalıştırmaya çağıran “X-Meta Firebase_Crypted.bat” adlı bir toplu iş dosyası aracılığıyla yürütülmeye ilerler.
Bu, CMD.EXE’nin AnhemVN4’ten bir zip arşivi olan “5BTC.ZIP” in indirmesine ve çıkarmasına yol açar[.]com, C: Drive’da bir “Xmetavip” klasörü oluşturma.
Bunun içinde, Pythonw.exe (pw.exe olarak) olarak adlandırılan bir GitHub’daki GitHub deposundan gizlenmiş Python kodunu almak ve çalıştırmak için Base64 kodlu komutlar yürütür[.]com/trieule99911/vianhthuongbtc, “Basse64.txt” gibi dosyalar dahil.
Bu filessiz yaklaşım, gizli bir masaüstünde (T1564.003) proses oyma (T1055.012) kullanarak Chrome.exe ve msedge.exe gibi meşru tarayıcılara süreç enjeksiyonunu kolaylaştırarak statik tespitten kaçınır.
Kalıcılık, HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Windows \ CurrentVersion \ Run, “Windows Güvenlik” gibi sistem bileşenlerini taklit eden, benzer kodlu Pythuba gibi “Backup.bat” gibi “Backup.bat” gibi, benzer kodlu Pythuba gibi “BUTHUBE” nden yeniden çalıştıran “Backup.bat” gibi, kayıt defteri (T1547.001) ile kurulur.
İnsan liderliğindeki tehdit avının zorunluluğu
Daha fazla analiz, işletim sistemi detayları (T1082) ve antivirüs yazılımı (T1518.001) için WMI sorguları aracılığıyla Discovery ile birlikte Google Chrome, Microsoft Edge ve Mozilla Firefox’ta tarayıcı dosyalarını hedefleyen kimlik bilgisi erişim denemelerini (T1555.003) gösterir.
Saldırılardan sadece bir hafta önce oluşturulan GitHub deposu, kalıcılık yaratıcılarına ve hizmet olarak kötü amaçlı bir teklif olan Xworm Rat’a atfedilen karmaşık yüklere bölünmüş 11 gizlenmiş, baz 64 kodlu Python dosyasına ev sahipliği yapıyor.
Bir dosya olan “exppiyt.txt”, bir komut ve kontrol (C2) IP: 5[.]181[.]165[.]102: 7705, analiz zamanında virustotal üzerinde tespit edilmedi.
Bu kampanya, rakiplerin sosyal mühendislik etkinliğini artırmak için AI markalaşmasından yararlanmasını ve Defender gibi araçlarda manuel zaman çizelgesi incelemeleri gerektiren gizli davranışlar aracılığıyla atlayarak vurgulamaktadır.
SpiderLabs, otomatik algılamanın sınırlamalarını vurgular, bu tür kaçak tehditleri tanımlamak için proaktif tehdit avının değerinin altını çizerek, gelişen siber manzaralardaki riskleri azaltmak için insan uzmanlığını araştırmacı titizlikle birleştirir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| Url’ler | hxxps: // gptgrok[.]AI hxxps: // anhemvn6[.]com hxxps: // anhemvn4[.]com/5btc[.]zip hxxps: // github[.]com/trieule99911/vianhthuongbtc (ve ilişkili raw.githubusercontent[.]Basse64.txt, backpupure.txt, vb. İçin com dosya yolları |
| C2 IP | 5[.]181[.]165[.]102: 7705 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!