Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
Bilgi Çalma Amaçlı Uzaktan Kod Yürütme Kötü Amaçlı Yazılımını Dağıtan Saldırganlar
Prajeet Nair (@prajeetspeaks) •
14 Temmuz 2023
Araştırmacılar, kimlik bilgilerini toplayabilen bir bilgi hırsızı olan LokiBot’u düşürmek için tasarlanmış bir dizi kötü niyetli Microsoft Office belgesini kullanan saldırılarda artış olduğu konusunda uyarıda bulunuyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
FortiGuard Labs, belgelerin CVE-2021-40444 ve CVE-2022-30190 olarak izlenen bilinen uzaktan kod yürütme güvenlik açıklarından yararlandığını ve saldırganların Windows sistemlerini hedef alan ve virüs bulaşmış bilgisayarlardan hassas bilgiler toplamayı amaçlayan LokiBot kötü amaçlı yazılımını düşüren kötü amaçlı makroları yerleştirmesine olanak sağladığını söyledi. makineler.
Loki PWS olarak da bilinen LokiBot, 2015’ten beri faaliyet gösteriyor. Bilgi çalan Trojan, başlangıçta kötü amaçlı e-posta ekleri yoluyla yayıldı.
“Mayıs 2023’te, analiz için iki tür Word belgesi aldık. İlk tür, bir XML dosyasına gömülü bir harici bağlantıya sahipti, word/_rels/document.xml.relsikinci tür ise belgeyi açar açmaz bir makro çalıştıran bir VBA betiği içeriyordu” dedi araştırmacılar.
İlk belge, MHTML kullanan harici bir bağlantıyla CVE-2021-40444’ü hedefliyordu. Bu web arşivi dosya formatı, bir web sitesinin HTML kodunu ve eşlik eden kaynakları tek bir dosyada birleştirir.
Bağlantı ayrıca kullanıcıları bulut tabanlı bir dosya paylaşım web sitesi olan GoFile’a yönlendiren bir URL kısaltıcı ve bağlantı yönetimi platformu olan Cuttly’yi kullandı. Daha fazla araştırma, adlı başka bir dosyayı ortaya çıkardı. defrt.htmlbağlantıya erişildiğinde indirilir.
“Bu dosya ikinci güvenlik açığı olan CVE-2022-30190’dan yararlanıyor. Yükü çalıştırdıktan sonra, adlı bir enjektör dosyasının indirilmesini başlatıyor. oehrjd.exe aşağıdaki URL’den: http://pcwizard.net/yz/ftp/dedi araştırmacılar.
Diğer belge, Word belgesinin içine yerleştirilmiş ve kullanımıyla otomatik olarak yürütülen kodu içeriyordu. Auto_Open Ve Document_Open fonksiyonlar.
“Komut dosyası içinde çeşitli dizilerin kodu çözülür ve adı altında geçici bir klasöre kaydedilir. DD.inf. oluşturmak için bir komut içerir. ema.tmp 29. satırdan sonra verileri depolamak için dosya DD.inf dosya. Veriler daha sonra ‘ecodehex’ işlevi kullanılarak kodlanır ve şu şekilde kaydedilir: des.jpg. Komut dosyası daha sonra kullanır rundll32 ‘maintst’ işlevine sahip bir DLL dosyası yüklemek için. Son olarak, bu süreç boyunca oluşturulan tüm geçici, JPG ve INF dosyalarını siler” dedi.
Bu DLL dosyası, daha sonraki bir aşamada kullanılmak üzere tipik bir dosya paylaşım bulut platformundan veya saldırganın komuta ve kontrol sunucusundan indirilmeyen bir enjektörün indirilmesine yardımcı olur. Web sitesinden yararlanır vertebromed.md2018 yılından beri aktif olan.
Enjektör dosyasının 29 Mayıs’ta oluşturulduğu tespit edildi ve aynı klasör içinde araştırmacılar, adlı başka bir MSIL yükleyicisini ortaya çıkardı. IMG_3360_103pdf.exe, ertesi gün oluşturulur. Araştırmacılar, “Bu dosya doğrudan Word belgesi saldırı zincirine dahil olmasa da, LokiBot’u da yüklüyor ve aynı C2 IP’sine bağlanıyor” dedi.
Daha sonraki aşamalarda, enjektör, Process Environment Block’un BeingDebugged bayrağını kontrol etmek, “NtGlobalFlag” kullanarak sürecin bir hata ayıklayıcı tarafından oluşturulup oluşturulmadığını belirlemek, “VMWare” gibi sanal makine yollarının varlığını doğrulamak gibi çeşitli kaçınma tekniklerini birleştirir. ” ve “Oraclevirtualbox konuk eklemeleri” ve “GetTickCount” API’sine iki çağrı yapılması ve kullanılması Sleep() zamanın hızlandırılıp hızlandırılmadığını kontrol etmek için.
Yük elde edildikten ve genel ortamda doğrulandıktan sonra, enjektör, LokiBot’un sonraki yürütülmesi için bellek ayırmak üzere “VirtualAllocEx” işlevini kullanır.
LokiBot’u Dağıtma
LokiBot, ilk erişim yöntemlerini sürekli olarak güncelleyerek, kötü amaçlı yazılım kampanyasının sistemleri yaymak ve sistemleri etkilemek için daha verimli yollar bulmasını sağladı.
2020’de ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, kötü amaçlı yazılımın arkasındaki operatörlerin, kötü amaçlı yazılımı kurbanlardan gizlemek ve SMS ve LokiBot içeren diğer özel mesajlar yoluyla kimlik avı bağlantıları göndermek için kötü amaçlı web siteleri kullandıkları konusunda uyardı.
En son kampanyada, operatörler çeşitli güvenlik açıklarından yararlanır ve saldırı başlatmak için VBA makrolarını kullanır. Kötü amaçlı yazılım ayrıca, tespit veya analizden kaçınmak için çeşitli teknikler kullanmak üzere bir VB enjektörü kullanır.