Vietnamlı yalnız hiçbir tehdit aktör grubu tarafından düzenlenen sofistike bir kötü amaçlı yazılım kampanyası, şüpheli kurbanların sistemlerine bilgi çalma kötü amaçlı yazılımları dağıtmak için hileli telif hakkı ihlali yayından kaldırma bildirimlerinden yararlanıyor.
Kasım 2024’ten bu yana aktif olarak izlenen kampanya, sosyal mühendislik taktiklerinde geleneksel güvenlik farkındalığı önlemlerini atlamak için meşru yasal kaygıları kullanan bir evrimi temsil ediyor.
Kötü niyetli operasyon, mağdurların Facebook sayfalarında veya web sitelerinde telif hakkı ihlallerini iddia ederek dünyanın dört bir yanından çeşitli hukuk firmalarını taklit eden sahte e -posta iletişimi etrafında merkezlenir.
.webp)
Bu özenle hazırlanmış e -postalar, alıcılara ait gerçek Facebook hesaplarına başvurarak başarılı bir aldatma olasılığını artıran endişe verici bir özgünlük seviyesi ekler.
Tehdit aktörleri, küresel erişimlerini genişletmek için muhtemelen makine çeviri araçlarını kullanan İngilizce, Fransızca, Almanca, Koreli, Çince ve Tayland gibi en az on farklı dilde e -posta şablonları oluşturarak dikkat çekici dilsel çok yönlülük gösterdiler.
.webp)
CoFense analistleri, bu kampanyayı iki temel kötü amaçlı yazılım yükünün sunulması nedeniyle özellikle tehlikeli olarak tanımladılar: Pure Logs Stealer ve PXA Stealer olarak da bilinen Lone Lone None Stealer olarak adlandırılan yeni keşfedilen bir bilgi stealer.
Kampanyanın karmaşıklığı, yük URL’lerini depolamak için telgraf bot profillerini kullanmak ve algılama mekanizmalarından kaçmak için Haihaisoft PDF okuyucu gibi meşru programlardan yararlanmak gibi yeni teknikler kullanarak geleneksel kötü amaçlı yazılım dağıtımının ötesine uzanıyor.
Saldırı zinciri, kurbanların, Dropbox ve MediAfire gibi dosya paylaşım platformlarına yol açmadan önce TR.EE ve GOO.SU gibi URL kısaltma hizmetlerini yönlendiren gömülü bağlantılar içeren telif hakkı yayından kaldırma e-postaları almasıyla başlar.
Bu arşiv dosyaları, kötü amaçlı bileşenlerin yanı sıra meşru belgelerin bir karışımını içerir ve gerçek kötü niyetli niyeti gizlerken özgünlük cephesi oluşturur.
Gelişmiş enfeksiyon mekanizması ve yük teslimatı
Bu kötü amaçlı yazılım kampanyasının teknik yürütülmesi, çok aşamalı enfeksiyon sürecinde dikkate değer bir karmaşıklık göstermektedir.
Kötü niyetli bağlantıyı tıkladıktan sonra, kurbanlar, Python yükleyicisi olarak işlev gören kötü niyetli bir DLL yüklemesi için kötü niyetli bir şekilde yeniden tasarlanmış olan Haihaisoft PDF okuyucu olan meşru bir program içeren bir arşiv dosyası indirirler.
Enfeksiyon zinciri, son yükü çözmek ve yürütmek için dikkatli bir şekilde düzenlenmiş bir meşru pencere kamu hizmeti dizisinden ilerler.
Kötü niyetli DLL, PDF belgesi olarak maskelenen ancak gerçek kötü amaçlı yazılım bileşenlerini içeren bir arşiv dosyasını çözmek için orijinal olarak sertifika yönetimi için tasarlanmış yerleşik Windows yardımcı certutil.exe’den yararlanır.
Aşağıdaki komut bu tekniği gösterir:-
cmd /c cd _ && start Document.pdf && certutil -decode Document.pdf Invoice.pdf && images.png x -ibck -y Invoice.pdf C:\\Users\\PublicBaşarılı bir kod çözmenin ardından kampanya, kod çözülmüş arşiv içeriğini C: \ Users \ public dizinine çıkarmak için aldatıcı bir şekilde “Images.png” olarak adlandırılan paketlenmiş bir Winrar yürütülebilir kullanılabilir.
Bu konum seçimi stratejiktir, çünkü kullanıcı oturumlarında kalıcılığı korurken idari ayrıcalıklara ihtiyaç duymadan yazma erişimi sağlar.
Çıkarılan Python kurulumu, telgraf bot komutu ve kontrol altyapısı ile iletişim kurmak için tasarlanmış gizlenmiş python komut dosyalarını yürüten “svchost.exe” adlı kötü niyetli bir tercüman yürütülebilir dosyası içerir.
Kötü amaçlı yazılım, Windows kayıt defteri değişiklikleri yoluyla kalıcılık elde eder ve özellikle sistem yeniden başlatıldıktan sonra sürekli yürütmeyi sağlamak için hkcu \ software \ microsoft \ windows \ currenction \ run’da başlatma girişleri oluşturur.
.webp)
İlk enfeksiyondan nihai yük dağıtımına kadar karmaşık çok aşamalı işlemi gösteren, ortalama yalnız hiçbir çeneli stealer örneği için tam yürütme akış şeması.
.webp)
Kampanyanın telgraf botlarını hem yük dağıtım mekanizmaları hem de komut ve kontrol altyapısı olarak kullanması, geleneksel ağ algılama yöntemlerini önlemek için meşru iletişim platformlarından yararlanırken tehdit aktörlerinin operasyonel güvenliği sürdürmesine izin veren önemli bir taktik evrimi temsil ediyor.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
