Windows sistemlerini hedef alan karmaşık bir kimlik avı kampanyası, kötü amaçlı yazılım yükünü dağıtmak için Python gizleme, kabuk kodu oluşturma ve yükleme gibi birden fazla kaçınma tekniğinden yararlanıyor.
Müşteri hizmetleri talebi kisvesi altında gerçekleştirilen bu çok aşamalı saldırı, açıldığında saldırganlara uzaktan sistem kontrolü sağlayan XWorm, VenomRAT, AsyncRAT ve PureHVNC’yi yükleyen kötü amaçlı ekler göndererek her türlü kuruluş için önemli bir tehdit oluşturuyor.
Saldırı, uzak bir dosya paylaşımından gelen PDF gibi gizlenmiş kötü amaçlı bir LNK dosyasını çalıştırmak için ‘search-ms’ protokolünü kullanan bir HTML eki içeren bir kimlik avı e-postasıyla başlıyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
LNK dosyası, hedef sistemi tehlikeye atmak için sosyal mühendislik, dosya manipülasyonu ve işlem enjeksiyon tekniklerini birleştirerek tespit edilmekten kaçınmak amacıyla, ana işlem olarak ‘conhost.exe’yi kullanan bir toplu komut dosyasını çalıştırmak için bir komut kullanır.
Karmaşık toplu iş dosyası, kötü niyetli amacını gizlemek için karakter değiştirme ve kodlama manipülasyonu kullanır.
Kodu çözdükten sonra sahte bir PDF başlatır, Python ortamı ve kötü amaçlı betikler içeren ZIP arşivlerini kullanıcının İndirilenler klasörüne indirir ve çıkarır ve Python yükünü yürütür.
Kalıcılığı sağlamak için, sahte PDF’yi yeniden açar, başlangıç klasörüne ikinci bir toplu iş dosyası indirir ve ek Python betiklerini çıkarır. Son olarak, gereksiz dosyaları temizler.
Çok Katmanlı Python Tabanlı Bir Kabuk Kodu Yükleyicisi Analiz Edildi.
İlk aşama, kabuk kodu yürütme için RC4 şifrelemesi ve ctypes kullanan gizlenmiş Python betiklerini içerir.
Sonraki aşamalarda, AMSI/WLDP baypasını aşabilen ilk aşama yükünü oluşturmak için bir donut kabuk kodu üreteci kullanılır, ardından kendini MMC olarak gizleyen ve Early Bird APC Queue kullanarak notepad.exe’ye kabuk kodunu enjekte eden laZzzy tabanlı bir enjektör kullanılır.
PureHVNC kötü amaçlı yazılımı, yükünü gizlemek için AES şifrelemesi ve Gzip sıkıştırmasından yararlanan .NET tabanlı bir RAT’tır.
Çalıştırıldığında yapılandırma verilerini çıkarır, bir C2 sunucusuyla iletişim kurar ve hassas veri yolları da dahil olmak üzere sistem bilgilerini toplar.
Kalıcılık ve gizlilik için PowerShell ve Win32 API’lerini kullanır. Kötü amaçlı yazılım, PureHVNC kitaplığına tutarlı referansla tanımlanan C2 sunucusundan ek eklentileri indirir ve yürütür.
PluginRemoteDesktop, enfekte olmuş bir sistem üzerinde uzak masaüstü kontrolü kuran, ikili parametresinden komut ve kontrol (C2) bilgilerini çıkaran ve daha sonra C2 sunucusuyla iletişim kuran kötü amaçlı bir DLL’dir.
Belirli API’leri kullanarak fareyle kontrol edilen işlevleri uygular ve tehdit aktörünün kurbanın sistemini uzaktan manipüle etmesini sağlar.
PluginExecuting, keyfi dosyaları çalıştırabilen, kendini güncelleyebilen ve hatta kötü amaçlı bileşenleri kaldırabilen çok yönlü bir kötü amaçlı yazılım modülüdür.
C2 kontrolü altında çalışır ve hem yerel olarak hem de bellekte dosya indirme ve yürütme gibi eylemleri gerçekleştirmek için komutlar alır.
Kötü amaçlı yazılım, kod enjeksiyonu için işlem boşaltmayı kullanarak mevcut işlemler içerisinde kötü amaçlı yükler yürütebilir.
FortiGuard Labs’a göre, birden fazla IOC, özellikle altı C2 alanı (duckdns.org üzerinde drvenomjh, vxsrwrm, ncmomenthv, ghdsasync, anachyyyy ve xoowill56), bir URL ve 33 dosya karma değeri içeriyor.
Bu IOC’ler muhtemelen birden fazla etki alanı kullanarak bir komuta ve kontrol altyapısı işleten ve karma değerleriyle tanımlanan çeşitli kötü amaçlı yazılım yüklerini dağıtan kötü niyetli bir aktöre aittir.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download