Kötü niyetli bir aktörler, siber tellerde endişe verici bir artışla gizli kötü amaçlı yazılım bileşenlerini yaymak için internet arşivi gibi güvenilir internet kaynaklarını daha sık kullanıyor.
Bu taktik, saldırganların geleneksel güvenlik filtrelerini atlamasına ve meşru içerik kisvesi altında yükler sunmasına olanak tanıyan bu tür platformların doğal güvenilirliğinden yararlanır.
En son olay, bir JScript yükleyicisi ile başlayan ve Remcos uzaktan erişim Trojan’ın (sıçan) konuşlandırılmasında doruğa ulaşan ve açık erişim arşivlerinin kalıcı enfeksiyonlar için nasıl silahlandırılabileceğini gösteren sofistike bir teslimat zincirini vurgular.
Kötü amaçlı yazılım dağıtım zincirlerinde ortaya çıkan eğilim
Saldırı, bir PowerShell komut dosyası yürüten bir JScript yükleyici ile başlar ve bu da internet arşivinde barındırılan zararsız bir PNG görüntü dosyasını alır.
Bu görüntü, PNG’ye gömülü bir bitmap içindeki tek tek piksellerin RGB değerleri içinde ustaca kodlanmış gizlenmiş bir .NET yükleyici için gizli bir kap görevi görür.
Ekstraksiyon üzerine, PowerShell bileşeni .NET yükleyicisini doğrudan bellekte başlatır ve antivirüs çözeltileri tarafından yaygın olarak kullanılan disk tabanlı algılama mekanizmalarından kaçar.
Bu bellek içi yürütme, adli ayak izlerini en aza indirdiği ve statik analizi karmaşıklaştırdığı için gelişmiş kalıcı tehditlerin ayırt edici özelliğidir.
Enfeksiyon sürecinin ayrıntılı dökümü
Etkin bir kez.
Daha sonra, veri açığa çıkması, tuş vuruşu günlüğü ve komut yürütmesindeki yetenekleri ile bilinen çok yönlü bir uzaktan erişim aracı olan son yükü dağıtmaya devam eder: Remcos Rat.
Remcos, esnek ve esnek alan çözünürlüğünü kolaylaştıran Duck DNS dinamik DNS sağlayıcısı aracılığıyla komut ve kontrol (C2) altyapısı ile iletişim kurar.
Bu Dyndns seçimi, hızlı C2 sunucu rotasyonlarının kara listeyi önlemesine izin verdiği için saldırının kaçınma potansiyelini arttırır.
VMRAY’daki güvenlik araştırmacıları, bu zinciri dinamik davranışsal izleme ile analiz ettiler, anormal ağ etkinliği ve kayıt defteri manipülasyonları gibi temel göstergeleri ortaya çıkardılar.
Raporları, yükleyicinin, kötü amaçlı yazılımları ters mühendislik çabalarından daha da koruyan dize şifrelemesi ve dinamik API çözünürlüğü dahil olmak üzere ağır gizleme tekniklerinin altını çiziyor.
İnternet arşivinin bu kötüye kullanılması, tehdit aktörlerinin, kötü amaçlı yazılım evrelemesi için depolama depolarına ve kod depolarına kadar meşru hizmetleri yeniden kullandıkları daha geniş bir modeli örnekliyor.
PNG’ler gibi multimedya dosyalarına yükleri yerleştirerek, saldırganlar, uygulanamayan formatlara uygulanan düşük incelemeden yararlanır ve tespiti imza tabanlı tarama yerine gelişmiş davranışsal analizlere güvenir.
Siber güvenlik savunmaları için çıkarımlar önemlidir. Kuruluşlar, arşiv sitelerinden olağandışı indirmeler için izlemeyi geliştirmeli ve PowerShell’i kısıtlı dil moduyla kısıtlama gibi komut dosyası yürütme konusunda daha katı kontroller uygulamalıdır.
Dahası, ortaya çıkan istismar vektörlerini izleyen tehdit istihbarat beslemelerini entegre etmek proaktif hafifletmeye yardımcı olabilir.
Meşru platformlar ortak seçilmeye devam ettikçe, bu olay, çevrimiçi kaynaklara olan güvenin giderek bir sorumluluk olduğu saldırganlar ve savunucular arasındaki gelişen kedi ve fare oyununun bir hatırlatıcısı olarak hizmet eder.
Uzlaşma Göstergeleri (IOCS)
| IOC Türü | Değer |
|---|---|
| Örnek SHA256 | 655025f2ea7fd15e7e70b73b2e35f22b399b1913013934534f7a334fd592905 |
| .NET Yükleyici SHA256 | A777F34B8C2036C49B90B964AC92A74D4AC008DB9C3DFA3B61E7E3F7C6EE8A |
| Remcos yükü SHA256 | CA68C3F483F1737197C12676C66B7C9F836BA393AC645AA5D3052F29CDB2E0 |
| C2 Altyapı | Duck DNS Dyndns Sağlayıcı |
| Barındırma hizmeti | İnternet Arşivi (PNG görüntü dosyası) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!