Tehdit avcıları, Sosano olarak adlandırılan daha önce belgesiz bir Golang arka kapı yerini sunmak için Birleşik Arap Emirlikleri’nde (BAE) “beşten az” varlığı seçen yeni bir hedefli kimlik avı kampanyasına dikkat çekiyor.
Ekim 2024’ün sonlarında tespit eden Proofpoint’e göre, kötü niyetli etkinlik, havacılık ve uydu iletişim organizasyonlarına karşı özellikle yönlendirildi. Unk_craftycamel.
Saldırı zincirinin dikkate değer bir yönü, düşmanın kimlik avı mesajları göndermek için Hint elektronik şirketi DIS elektroniklerine ait tehlikeye atılmış bir e -posta hesabına erişiminden yararlanmasıdır. Varlığın, tüm hedeflerle güvenilir bir iş ilişkisinde olduğu söyleniyor, yemler her birine göre uyarlanmış.
Hacker News ile paylaşılan bir raporda, “Unk_craftycamel, Birleşik Arap Emirlikleri’ndeki beşten az organizasyonu, Birleşik Arap Emirlikleri’ndeki beşten az organizasyonu, Sosano olarak adlandırılan özel bir Go Backdoor dublajı yüklemek için kötü niyetli bir fermuar dosyasıyla hedeflemek için kullandı.”
E -postalar, Hindistan Şirketi olarak görünen sahte bir alan adına işaret eden URL’ler içeriyordu (“Indicelectronics[.]Net “), bir XLS dosyası ve iki PDF dosyası içeren bir zip arşivi barındırıyor.
Ancak gerçekte, XLS dosyası bir Microsoft Excel belgesi olarak geçmek için bir çift uzantı kullanan bir Windows kısayolu (LNK) idi. Öte yandan iki PDF dosyası, poliglot olduğu ortaya çıktı: biri HTML uygulaması (HTA) dosyası, diğeri ise bir zip arşivi eklenmiş.
Bu aynı zamanda her iki PDF dosyasının, dosya kaşifleri, komut satırı araçları ve tarayıcılar gibi programlar kullanılarak nasıl ayrıştırıldıklarına bağlı olarak iki farklı geçerli format olarak yorumlanabileceği anlamına geliyordu.
Proofpoint tarafından analiz edilen saldırı dizisi, CMD.EXE’yi başlatmak için LNK dosyasını kullanmayı ve daha sonra PDF/HTA Polyglot dosyasını çalıştırmak için MSHTA.EXE’yi kullanmayı gerektirir ve bu da ikinci PDF içinde bulunan Zip Arşivinin içeriğini açma talimatları içerir.
İkinci PDF’deki dosyalardan biri, bir ikili yüklemeden sorumlu olan bir İnternet kısayolu (URL) dosyasıdır, bu da daha sonra Sosano adı verilen DLL backdoor’u çözmek ve çalıştırmak için “234567890abcdef” dizesiyle xored bir görüntü dosyası arar.
Golang’da yazılan implant, bir komut ve kontrol (C2) sunucusuyla iletişim kurmak ve daha fazla komutu beklemek için sınırlı bir işlev taşır-
- Sosanogeçerli dizin almak veya çalışma dizini değiştirmek için
- .geçerli dizinin içeriğini numaralandırmak için
- Pazartesibilinmeyen bir sonraki aşama yükü indirmek ve başlatmak için
- Raianbir dizini silmek veya kaldırmak için
- Lunnabir kabuk komutunu yürütmek için
Proofpoint, UNK_CRAFTYCAMEL tarafından gösterilen Tradecraft’ın bilinen başka bir tehdit oyuncusu veya grupla örtüşmediğini belirtti.
Hacker News, Joshua Miller, “Bu kampanyanın muhtemelen İslam Devrim Muhafız Kolordusu’na (IRGC) bağlı olan İranlı uyumlu bir düşmanın çalışması olduğunu gösteriyor.” Dedi. “Hedeflenen sektörler hem ekonomik istikrar hem de ulusal güvenlik için çok önemlidir, bu da onları daha geniş jeopolitik manzarada değerli zeka hedefleri haline getirir.”
“Bu düşük hacimli, yüksek hedefli kimlik avı kampanyası, BAE’de havacılık, uydu iletişimi ve kritik ulaşım altyapısı hedeflemek için güvenilir bir üçüncü taraf uzlaşmanın yanı sıra, devlet tarafından uyumlu aktörlerin EVADE tespitine gideceğini ve istihbarat koleksiyonlarını başarılı bir şekilde yerine getireceği uzunlukları gösteriyor.”