Türk savunma ve havacılık işletmelerini hedefleyen sofistike bir kimlik avı kampanyası ortaya çıktı ve Snake Keylogger kötü amaçlı yazılımlarının Tusaş’ı (Türk havacılık endüstrileri) taklit eden hileli e -postalar aracılığıyla son derece kaçınılmaz bir varyantını sundu.
Kötü niyetli kampanya, özellikle “Teklij Türk Havasilik uzay uzay Sanayik” dosya adını kullanan sözleşmeye bağlı belgeler olarak gizlenen dosyaları dağıtır.
Snake Keylogger varyantı, uzlaşmış sistemlerde tespit edilmemesini sağlayan gelişmiş kalıcılık yeteneklerini ve sofistike kaçırma tekniklerini gösterir.
Uygulandıktan sonra, kötü amaçlı yazılım derhal birden fazla kalıcılık katmanı oluştururken, aynı zamanda mağdur sistemlerine uzun vadeli erişim sağlamak için anti-tespit mekanizmaları uygular.
Kampanyanın savunma endüstrisi müteahhitlerine yönelik hedeflenen yaklaşımı, yüksek değerli istihbarat toplama operasyonlarına stratejik bir odaklanma olduğunu göstermektedir.
Malwation araştırmacıları, son kimlik avı kampanyalarını analizleri sırasında bu özel yükü belirleyerek, kötü amaçlı yazılımların kalıcılığı korumak ve güvenlik kontrollerinden kaçmak için meşru pencereler kamu hizmetlerinin sofistike kullanımını not ettiler.
.webp)
SHA256 hash 0cb819d32cb3a2f218c5a17c02bb8c06935e926eBacf1e4 ile, .Net olarak yazılmış, çoklu paketleme katmanları için yazılmış PE32 yürütülebilir katmanları olarak yazılmış olarak ortaya çıkar.
Keylogger’ın birincil hedefleri, Chrome, Firefox, Outlook ve Thunderbird dahil olmak üzere 30’dan fazla farklı tarayıcı ve e -posta istemcisinden çıkarılan kimlik bilgileri, çerez ve finansal bilgileri içerir.
.webp)
Ayrıca, kötü amaçlı yazılım, çalıntı verileri SMTP aracılığıyla Mail.htcp.Homes sunucularına atmadan önce otomatik doldurma verilerini, kredi kartı bilgilerini, indirme geçmişlerini ve en iyi siteleri tehlikeye atılmış sistemlerden hasat eder.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
Kötü amaçlı yazılım, algılama sistemlerinden kaçarken kalıcılık oluşturmak için çift yönlü bir yaklaşım kullanır.
Yürütme üzerine, PowerShell’i komutu kullanarak Windows Defender’ın hariç tutma listesine eklemeye derhal Add-MpPreference -Exclyerleşik antimal yazılım korumasını etkili bir şekilde nötralize eder.
Bu işlem, güvenlik yapılandırmalarını değiştirmek için PowerShell.exe’yi başlatan NTCreateUserProcess Sistem çağrısı aracılığıyla yürütülür.
Eşzamanlı olarak, kötü amaçlı yazılım, sistem başlatmasında otomatik yürütmeyi sağlamak için schtasks.exe kullanarak “güncelleme \ onqxpr” adlı planlanmış bir görev oluşturur.
Planlanan görev oluşturma işlemi, yürütme parametrelerini tanımlayan bir XML yapılandırma dosyası oluşturulmasını ve kötü amaçlı yazılımın kullanıcı etkileşimi olmadan sistem yeniden başlatmalarında devam etmesini sağlar.
Bu teknik, meşru Windows görev planlama işlevselliğini kullanır ve tespiti geleneksel güvenlik çözümleri için önemli ölçüde daha zorlaştırır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.