Bilgisayar korsanları genellikle LNK dosyalarını silah olarak kullanırlar çünkü bunlar kötü amaçlı yazılımları kimse tarafından fark edilmeden sistemlere taşıyabilir. LNK dosyaları, açıldığında kötü amaçlı bir yük (komut dosyaları veya yürütülebilir dosyalar gibi) başlatan kısayollardır.
LNK dosyaları Windows ortamlarında yaygın olarak kullanılır ve kendilerini kolayca gerçek dosyalar gibi gösterebilirler; bu da kullanıcıların bunların kötü niyetli olduğundan şüphelenmesini zorlaştırır.
GDataSoftware’deki siber güvenlik araştırmacıları yakın zamanda Turla korsanlarının dosyasız kötü amaçlı yazılımları dağıtmak için LNK dosyalarını aktif olarak silahlandırdığını keşfetti.
Turla Hacker’ları LNK Dosyalarını Silahlandırıyor
Turla bilgisayar korsanları, Filipinli şirketleri ve kuruluşları hedef alıyor ve bunu yapmak için kötü amaçlı kodları dağıtmak üzere hacklenmiş bir medya web sitesini kullanıyorlar.
Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Zincir, Filipin İstatistik Otoritesi’nin resmi bir duyurusu gibi görünen zararlı bir kısayolla başlıyor.
Uygulandığında, uygulama beyaz listelemesinin etrafından dolanan dosyasız bir arka kapı başlatmak için Microsoft’tan msbuild.exe’yi kullanan bir PowerShell betiğini çalıştırır.
Bu kötü amaçlı yazılım, zamanlanmış görevler aracılığıyla her 30 dakikada bir çalışacak şekilde ayarlanmıştır. Algılanmaması ve tersine mühendisliğinin zor olmaması için, yükü SmartAssembly tarafından korunan bir MSIL ikilisidir.
.webp)
İlginçtir ki, bu olay Kamboçya’daki Siem Reap şehrini, Angkor Wat’ın yıllık turist birliği gibi bir araya getiriyor; sosyal mühendislik, dosyasız kötü amaçlı yazılımlar ve meşru sistem araçlarının hepsi tek bir saldırıda kullanılıyor.
Bu sofistike arka kapı, tespitini engellemek için çeşitli kaçınma teknikleri kullanmıştır. ETW’yi devre dışı bırakır, bellekteki kopyalarını yamalar ve AMSI’den kaçınır.
Kötü amaçlı yazılım, enfekte olmuş bir kişisel web sitesi kullanarak C2 sunucusuyla bağlantı kurar. Önce bir URL aracılığıyla bir rutini kontrol eder ve ardından başka bir URL’den emir alır.
Bu çok adımlı iletişim, saldırganın savunma sistemleri tarafından tespit edilmeden kontrolü elinde tutmasını sağlıyor ve bu da tehdidin ne kadar gelişmiş olduğunu gösteriyor.
Bu zararlı yazılımın analizi, bu zararlı yazılımın Turla APT teknikleriyle bazı ortak özelliklere sahip olduğunu gösteriyor; bunlar arasında enfekte olmuş web sitelerini sunucu olarak kullanmak, belleği yamalayarak AMSI’yi atlatmak, dosyaları diskte olmadan PowerShell kullanarak çalıştırmak ve bir sunucu tarafından kontrol edilen komut dosyalarını çalıştırmak yer alıyor.
Bunun yanı sıra bu varyantta daha önce Turla ile ilişkilendirilmemiş yeni teknikler de kullanılıyor; bu da grup içinde taktiklerde olası değişiklikler olabileceği veya benzer yöntemleri kullanan yeni bir aktörün ortaya çıkabileceği anlamına geliyor.
Bilinen ve bilinmeyen numaraların böyle bir karışımı, gelişmiş kalıcı tehditlerin stratejilerini sık sık değiştirdiğini gösteriyor. Bu, bir saldırının arkasında kimin olduğunu bilmenin siber güvenlik araştırmacıları için zor olmaya devam ettiği anlamına geliyor.
Önlemler
Aşağıda tüm önlemleri sıraladık:
- PowerShell’i yalnızca imzalanmış betikleri yürütecek şekilde ayarlayın.
- Gerekmiyorsa PowerShell’i değerlendirin ve kaldırmayı düşünün.
- Uzaktan PowerShell kullanımını engellemek için WinRM Hizmetini devre dışı bırakın/kısıtlayın.
- Gerekmiyorsa MSBuild.exe’yi kaldırın.
- Gerekmiyorsa uygulama denetimiyle msbuild.exe’yi engelleyin.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo