Smokeloader kötü amaçlı yazılımlarla birlikte gizli bir kötü amaçlı yazılım yükleyicisi Emmenhtal kullanarak ilk Ukrayna Uluslararası Bankası’nı (PUMB) hedefleyen yeni bir kötü amaçlı yazılım kampanyası gözlendi.
Bu kampanya, finansal olarak motive olmuş tehdit aktörleri tarafından Cryptbot ve Lumma Stealer gibi infostalers dağıtmak için gelişmiş taktikleri gösteriyor.
Saldırı zinciri silahlı 7Z arşivi ile başlar ve dinamik yük dağıtım yetenekleriyle bilinen modüler bir kötü amaçlı yazılım olan Smokeloader’ın konuşlandırılmasında doruğa ulaşır.
Enfeksiyon işlemi, “лiжна_iнстрtaj.7Z” adlı kötü amaçlı 7Z arşivi içeren bir e-posta ile başlayarak beş aşamalı bir zincir içerir (“Ödeme Talimatı” olarak çevrilir).
Arşiv iki dosya içerir: meşru bankacılık belgelerini taklit eden bir yem PDF ve ek yükleri indiren bir URL kısayolu.
Bu yaklaşım, kurbanları dosyaları yürütmeye teşvik etmek için sosyal mühendislikten yararlanır.
Karaya Yaşayan Teknikler yoluyla sömürü
Arşiv çıkarıldıktan sonra, enfeksiyon zinciri birkaç aşamadan ilerler.
URL kısayol dosyası, PowerShell’i gizlenmiş komutları yürütmesi için tetikleyen uzak bir sunucudan kötü amaçlı bir LNK dosyasını alır.
Bu komutlar, gömülü bir HTA komut dosyası çalıştırmak için MSHTA’yı (Microsoft HTML uygulaması) kullanır ve meşru Windows yardımcı programlarını yaşam-off ikili ve komut dosyaları (LOLBA’lar) olarak bilinen bir teknikte kullanır.
Bu, güvenlik araçları ile algılamayı en aza indirir ve fitilsiz yürütmeyi mümkün kılar.
Emmenhtal yükleyici, bu kampanyada DCCW.exe (Ekran Renk Kalibrasyon Sihirbazı) gibi değiştirilmiş Windows ikili dosyalarına kötü niyetli JavaScript’i yerleştirerek çok önemli bir rol oynar.
Bu komut dosyası, gizlilik ve anti-analiz önlemleri yoluyla gizliliği korurken ek yükleri çözer ve yürütür.
Smokeloader’ın modüler yetenekleri
Son aşamada Smokeloader konuşlandırıldı. Bu kötü amaçlı yazılım, modüler tasarımı ile ünlüdür ve şunları sağlar:
- Ek kötü amaçlı yazılımları indirin ve yürütün
- Tarayıcılardan ve sistem belleğinden kimlik bilgileri çalın
- Komut ve Kontrol (C2) sunucularından uzaktan komutları yürüt
- Proses enjeksiyonu ve anti-kötü niyetli teknikler yoluyla tespitten kaçınma
Analiz edilen smokeloader örneği, omsuscation ve ambalaj için .NET reaktörünün yaygın olarak kullanıldığını, tespit ve analizi daha da karmaşık hale getirdi.
Ek olarak, kötü amaçlı yazılım, QEMU ve VirtualBox gibi sanallaştırma araçlarını kontrol ederek sanal kutu önleme önlemleri sergiledi.
Rapora göre, bu kampanya kötü amaçlı yazılım sunum mekanizmalarının gelişen sofistike olmasının altını çiziyor.
Emmenhtal’i smokeloader ile zincirleyerek, saldırganlar lolbas sömürüsü, kod obfusation ve anti-analiz stratejileri gibi gelişmiş teknikler aracılığıyla tespitten kaçınırken ikincil yükleri dinamik olarak dağıtabilirler.
Silahlı 7Z arşivlerinin kullanımı, siber saldırılarda arşiv temelli kaçış yöntemlerinden yararlanma eğilimini yansıtmaktadır.
Kuruluşlara, uç nokta algılama ve yanıt çözümlerini, ağ izleme araçlarını ve sıfır-tröst güvenlik çerçevelerini uygulayarak savunmalarını güçlendirmeleri tavsiye edilir.
Ek olarak, PowerShell komut dosyası (T1059.001) ve MSHTA yürütme (T1218.005) gibi MITER ATT & CK tekniklerinin farkındalığı, benzer tehditlerin belirlenmesine yardımcı olabilir.
Bu kampanya, smokeloader gibi giderek daha sofistike kötü amaçlı yazılımların ortaya koyduğu riskleri azaltmak için proaktif siber güvenlik önlemlerinin önemini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!