Siber güvenlik araştırmacıları, Tayvan’daki kullanıcıları holding Hands Rat ve GH0Stcringe gibi kötü amaçlı yazılım aileleriyle hedefleyen yeni bir kimlik avı kampanyası uyarıyor.
Fortinet Fortiguard Labs, Hacker News ile paylaşılan bir raporda, etkinliğin, Tayvan’ın Ulusal Vergilendirme Bürosu’nu taklit eden kimlik avı mesajları göndererek Winos 4.0 kötü amaçlı yazılım çerçevesini sunan daha geniş bir kampanyanın bir parçası olduğunu söyledi.
Siber güvenlik şirketi, sürekli izleme yoluyla ek kötü amaçlı yazılım örnekleri belirlediğini ve GH0STCRINE ve holding farelerine dayalı bir kötü amaçlı yazılım suşu, kimlik avı e-postaları yoluyla dağıtılan kötü amaçlı yazılımla bağlanmış PDF belgeleri veya zip dosyaları kullanılarak Silver Fox Apt olarak adlandırılan aynı tehdit aktörünü gözlemlediğini söyledi.
Her iki holding Hands Rat’ın (diğer adıyla GH0STBins) ve GH0STCringe’nin Çin hack grupları tarafından yaygın olarak kullanılan GH0ST Rat adlı bilinen bir uzaktan erişim Truva atının varyantları olduğunu belirtmek gerekir.
Saldırının başlangıç noktası, alıcıları eki açmaya ikna etmek için vergiler, faturalar ve emekliliklerle ilgili yemleri kullanan hükümet veya iş ortaklarından gelen mesajlar olarak maskelenen bir kimlik avı e -postasıdır. Alternatif saldırı zincirlerinin, tıklandığında kötü amaçlı yazılımları indiren gömülü bir görüntüden yararlandığı bulunmuştur.
PDF dosyaları da, muhtemel hedefleri bir fermuar arşivini barındıran bir indirme sayfasına yönlendiren bir bağlantı içerir. Dosya içinde birkaç meşru yürütülebilir dosyalar, kabuk kodu yükleyicileri ve şifreli kabuk kodu bulunmaktadır.
Çok aşamalı enfeksiyon dizisi, DLL yan yükleme tekniklerini kullanarak meşru ikili dosyalar tarafından kenar yüklenen DLL dosyalarından başka bir şey olmayan kabuk kodunu şifresini çözmek ve yürütmek için kabuk kodu yükleyicinin kullanımını gerektirir. Saldırının bir parçası olarak konuşlandırılan ara yükler, kötü amaçlı yazılımın tehlikeye atılmış ana bilgisayarda engellenmesini sağlamak için VM ve ayrıcalık artışını içerir.
Saldırı, komut ve kontrol (C2) işlevlerini kullanıcı bilgilerini toplamak ve dosya yönetimini ve uzak masaüstü özelliklerini kolaylaştırmak için ek modüller indirmek için “msgdb.dat” ın yürütülmesi ile sonuçlanır.
Fortinet ayrıca, kullanıcıları HTM sayfalarını indirmeye götüren kimlik avı e -postalarındaki PDF ekleri aracılığıyla GH0STCRINE’yi yayan tehdit oyuncusunu keşfettiğini söyledi.
Şirket, “Saldırı zinciri, saldırı akışı kompleksi haline getirerek çok sayıda kabuk kodu ve yükleyici snippet’ini içeriyor.” Dedi. “Winos, HoldingHands ve GH0STCRINE’de bu tehdit grubu, kötü amaçlı yazılım ve dağıtım stratejilerini sürekli olarak geliştiriyor.”