Ajan Tesla, Xloader ve Remcos Rat da dahil olmak üzere çeşitli kötü amaçlı yazılımlar sunmak için “basamaklı gölgeler” olarak bilinen karmaşık bir saldırı zinciri kullanılarak gelişmiş çok katmanlı bir kimlik avı kampanyası ortaya çıktı.
Saldırganların stratejisi, sadece geleneksel sanal alan ortamlarından kaçınmakla kalmayıp, aynı zamanda siber güvenlik uzmanları tarafından analizi de karmaşıklaştıran birden fazla, görünüşte basit ama stratejik olarak katmanlı aşamalar kullanmaya çalışır.
Aldatıcı başlangıç
Kampanya, genellikle yeni bir ödeme yapıldığını iddia ederek resmi iletişim olarak gizlenen kimlik avı e -postaları ile başlar.
.png
)
Bu e -postalar, kurbanı bir ‘sipariş dosyası’ incelemeye yönlendiren “DOC00290320092.7Z” adlı sıkıştırılmış bir dosya içerir.
Açıldıktan sonra, .7Z dosyası bir JavaScript kodlu (.jse) dosyasını ortaya çıkarır. Bu ilk dosya bir indirici görevi görür, bir uzak sunucudan bir PowerShell komut dosyası getirir ve enfeksiyon zincirini başlatır.
Katmanları çözmek
Ağır şaşkınlıktan yoksun PowerShell komut dosyası, kod çözülmüş, diske kaydedilmiş ve yürütülen baz 64 kodlu bir yükü barındırır.
İlginç bir şekilde, müteakip analiz, bir .NET veya bir Otoit derlenmiş yürütülebilir dosyası arasında seçim yaparak yükün değiştiğini ortaya koymuştur.
Rapora göre, saldırı zincirindeki bu çatallanma, kötü amaçlı yazılımın uyum sağlamasını, enfeksiyon başarısını artırmak için yollar arasında seçim yapmasını sağlar.
.NET yürütülebilir dosyası, çalışan bir regasm.exe işlemine enjekte etmeden önce AES veya Triple DES ile yükü çözer.
Bu kampanyadaki çoklu .NET örneklerinde bulunan benzerlikler, Ajan Tesla veya Xloader gibi farklı kötü amaçlı yazılım ailelerine, aynı altta yatan enfeksiyon yöntemini kullanan süreçlere enjekte etmek için kasıtlı bir tasarım göstermektedir.
Diğer alternatif yolda, otoit yürütülebilir ürünler ek bir karmaşıklık katmanı sunar.
Kabuk kodunu yükleyen, bir kez şifresini çözen, son kötü amaçlı yazılımları bir REGSVCS işlemine enjekte eden şifreli yükler içerir.
Bu otomatik komut dosyasının rolü, DllCalladDress referansları aracılığıyla kötü amaçlı kod çalıştırmayı ve analiz için zorlukları da içeriyor.
Saldırganların karmaşık stratejilerine rağmen, Advanced Wildfire gibi güvenlik çözümleri, basamaklı gölgeler saldırı zincirinin her aşamasını tespit edebilir.
Palo Alto Networks’ün gelişmiş URL filtrelemesi, gelişmiş DNS güvenliği ve XSIAM ile Cortex XDR bu tehditlere karşı katmanlı savunmalar sağlar.
Potansiyel olarak tehlikeye atılan kuruluşlar için, Ünite 42 ile hemen temas önerilir.
Bu saldırı zinciri, saldırganların tespitten kaçınmak için karmaşıklığa ve çeşitliliğe güvendiği siber tehditlerde devam eden bir eğilimi vurgulamaktadır.
Analiz edilen teknikler, özellikle otoit tabanlı kötü amaçlı yazılımlarla başa çıkma ve hata ayıklama kabuk kodu ile tehdit avcılık yeteneklerini geliştirmek için önemli bilgiler sunar.
Bu analiz, siber savunucular ve saldırganlar arasındaki sürekli kedi ve fare oyununun altını çizerek, sürekli uyanıklık ve gelişmiş algılama yeteneklerine olan ihtiyacı sergilemektedir.
Uzlaşma göstergeleri
Otoit enfeksiyon zinciri 1
| Sha-256 karma | Tanım |
|---|---|
00dda3183f4cf850a07f31c776d306438b7ea408e7fb0fc2f3bdd6866e362ac5 | doc00290320092.7z |
f4625b34ba131cafe5ac4081d3f1477838afc16fedc384aea4b785832bcdbfdd | doc00290320092.jse |
d616aa11ee05d48bb085be1c9bad938a83524e1d40b3f111fa2696924ac004b2 | files.catbox[.]moe/rv94w8[.]ps1 |
550f191396c9c2cbf09784f60faab836d4d1796c39d053d0a379afaca05f8ee8 | Autoit derlenmiş exe (Ajan Tesla Varyant) |
Otoit enfeksiyon zinciri 2
| Sha-256 karma | Tanım |
|---|---|
61466657b14313134049e0c6215266ac1bb1d4aa3c07894f369848b939692c49 | doc00290320092.7z |
7fefb7a81a4c7d4a51a9618d9ef69e951604fa3d7b70d9a2728c971591c1af25 | doc00290320092.jse |
8cdb70f9f1f38b8853dfad62d84618bb4f10acce41e9f0fddab422c2c253c994 | files.catbox[.]moe/gj7umd[.]ps1 |
c93e37e35c4c7f767a5bdab8341d8c2351edb769a41b0c9c229c592dbfe14ff2 | Autoit derlenmiş exe (Ajan Tesla Varyant) |
Ajan Tesla (Varyant) Yapılandırması
| Alan | Değer |
|---|---|
| FTP Sunucusu | ftp[:]//ftp.jeepcommerce[.]rs |
| FTP kullanıcı adı | kel-bin@jeepcommerce[.]rs |
| FTP şifresi | Jhrn)GcpiYQ7 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!