Snake Keylogger, Windows Defender’ı atlar ve kimlik bilgilerini çalmak için planlanan görevleri kullanır


Tehdit aktörleri, Türk ve uzay sektörlerinde, özellikle savunma ve havacılık sektörlerindeki işlere saldırmak için Türk Havacılık ve Uzay Endüstrileri’ni (Tusaş) taklit etmek için sofistike bir kimlik avı operasyonu kullanıyorlar.

Kampanya, SHA256 HASH ile “Teklij Türk Türk. 0cb819d32cb3a2f218c5a17c02bb8c06935e926eBacf1e40a746b01e960c68e4.

MS Windows için bir .NET montajı olarak tanımlanan bu PE32 yürütülebilir Müsaberi, Snake Keylogger’ın bir varyantını, tarayıcılardan ve e-posta istemcilerinden kimlik bilgileri, çerezler ve finansal bilgiler de dahil olmak üzere hassas verileri hasat etmek için tasarlanmış bir bilgi çalan kötü amaçlı yazılım sunar.

Ortaya çıkan kimlik avı tehdidi

Yürütme üzerine, kötü amaçlı yazılım, PowerShell komutları gibi Windows Defender’ın dışlama listesine ve otomatik başlangıç için planlanan görevleri eklemek için gelişmiş kalıcılık tekniklerini kullanır ve tehlikeye atılan sistemlere uzun vadeli erişim sağlar.

Olay, Türkiye’nin Ulusal Bilgisayar Acil Müdahale Ekibine (USOM) bildirildi ve etkilenen mağdurları bilgilendirme ve işbirlikçi istihbarat paylaşımı yoluyla riskleri azaltma çabaları ile bildirildi.

Analiz, niyetini maskelemek için sıcaklık dönüşümleri gibi zararsız işlemler gerçekleştiren “sıcaklık dönüşümleri” adlı iyi huylu Windows formları uygulamasıyla başlayarak kötü amaçlı yazılımın katmanlı yapısını ortaya çıkarır.

Çalışma zamanında, Montaj ve Activator.CreateInstance kullanılarak belleğe ek yükler yükler ve matryoshka tarzı yuvalama sergiler.

Chiron Unpacker gibi araçlarla açılmak, VM, Sandboxie, Windows Defender ve Görev Yöneticisi Kaçma için boş anti-analiz saplamaları içeren “Remington” olarak adlandırılan temel kötü niyetli ikili, gelecekteki geliştirmeler için potansiyel olduğunu gösteriyor.

Teknik döküm

KeyLogger, kayıt defteri anahtarlarını geçerek, şifrelemeutoutookspassword gibi işlevler aracılığıyla şifreleri sınıflandırarak ve şifresini çözerek Outlook, FoxMail ve Thunderbird gibi e -posta istemcilerinden verileri hedefler.

Chrome, Firefox, Brave, Vivaldi ve Microsoft Edge dahil olmak üzere 30’dan fazla tarayıcıdan otomatik doldurma verilerini, kredi kartı ayrıntılarını, indirmeleri, en iyi siteleri ve çerezleri çalmak için erişimini genişletir.

Anti-bot, bilinen sanalbox IP adreslerine karşı kontrol ederken, eksfiltrasyon SMTP, FTP veya Telegram gibi yapılandırılabilir kanallar aracılığıyla gerçekleşir.

Konfigürasyon çıkarma, Des-şifreli SMTP kimlik bilgilerini gösterir, ECB-modu şifreleme için MD5 türevi anahtarlardan yararlanan Python komut dosyaları kullanılarak, sunucu “mail.htcp.homes”, bağlantı noktası 587 ve “[email protected]” gibi e-posta uç noktalarını gösterir.

Özel bir Yara kuralı, Cassandra Protector’un şaşkınlığını, yüksek entropi bölümlerine sahip .NET örneklerini, System.Drawing.Bitmap ve Yansıtıcı Desenler gibi belirli kütüphaneleri işaretler.

Snake Keylogger
Kolay sonucu tespit et

Bu derin dalış, kötü amaçlı yazılımların işlem enjeksiyonu için NTCreateUserProcess, hariç tutma için güç (örneğin, ekleme-mpprefure-eksclusionpath) ve schtasks.exe gibi sistem çağrılarına güveninin altını çizer.

Savunucular, saptırılmış yapılandırmalar ve Yara kuralları da dahil olmak üzere sağlanan istihbarat elde edebilir.

Kampanya, hedeflenen sektörlerde kimlik bilgisi hırsızlığı taktiklerini vurgulayarak, bu tür tehditlere karşı koymak için gelişmiş e -posta filtreleme, davranışsal analitik ve çalışma zamanı izleme ihtiyacını vurgulamaktadır.

Uzlaşma Göstergeleri (IOCS)

Tip Gösterge
Dosya adı TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe
SHA256 0cb819d32cb3a2f218c5a17c02bb8c06935e926bacf1e40a746b01e960c68e4
Montero 3C9CDFF85962249A967B3827E3EDB4ACB710DC0E33088C619342E2CE6DF3BFBC
VJFV 82fa8156e9d4fb47cd20908818b9172f86ed13eb683041658f242c58ce0a9cff
JVF4P 2859B8700FC6111C40B806D114C43E2E3B4FAA536EEAB57D604818562905B911
Esir 11F577C6B6AF304332D47FBA2122ffb193e81378662eaa7093be971107d89d6
SMTP Sunucu: mail.htcp.homes; Liman: 587; E -posta: [email protected]

Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now



Source link