Ukrayna güvenlik ajansları, sıkıştırılmış arşivler aracılığıyla dağıtılan silahlandırılmış XLL dosyaları aracılığıyla hükümeti ve kritik altyapı sektörlerini hedefleyen sofistike bir kötü amaçlı yazılım kampanyası hakkında acil bir uyarı yayınladı.
Kötü niyetli kampanya, Ukraynalı kuruluşlara yönelik hedefli siber operasyonlarda önemli bir evrimi temsil eden Microsoft Excel eklentisi eklenti dosyalarını kullanıyor.
Saldırı metodolojisi, “500.zip” arşivlerine gömülü “dodatok.xll” gibi aciliyet ve meşruiyet uyandırmak için tasarlanmış adlarla XLL dosyaları içeren zip arşivlerinin dağıtılmasını içerir.
Bu dosyalar, sınır güvenliği olaylarına ilişkin belgeler olarak maskelenir, mağdur duyarlılığını artırmak için mevcut jeopolitik gerilimlerden yararlanır.
Yürütme üzerine, kötü amaçlı XLL dosyaları, tehlikeye atılan sistemlere kalıcı erişim sağlayan karmaşık bir çok aşamalı yükü dağıtır.
CERT-UA araştırmacıları, Kampanyanın sofistike yaklaşımını, tehdit grubu UAC-0245’in çalışması olarak tanımladılar.
Kötü amaçlı yazılım, gelişmiş kaçırma yeteneklerini gösterir ve Ukrayna kritik altyapısını hedefleyen daha sofistike ofis tabanlı saldırı vektörlerine doğru bir kaymayı temsil eder.
Kampanyanın teknik karmaşıklığı ve hedefleme kalıpları, modern güvenlik savunmalarını atlamaya adanmış önemli kaynaklara sahip devlet destekli kökenleri göstermektedir.
Enfeksiyon mekanizması ve kalıcılık stratejisi
Dolap kötü amaçlı yazılım, algılama mekanizmalarından kaçarken kalıcı sistem erişimi sağlayan sofistike bir çok dosya dağıtım stratejisi kullanır.
İlk XLL dosyası Excel’in Xlautoopen işlevi üzerinden yürütüldüğünde, kurban sistemi arasında üç farklı bileşen oluşturur: hem başlangıç klasörü hem de %AppData %\ microsoft \ ofis \, bir xll yükleyici dosyası “Basicexcelmath \ ofis \, bir XLL yükleyici dosyası” ile rastgele olarak adlandırılan yürütülebilir bir dosya oluşturur. Gömülü Shellcode içeren “Office.png” dosyası.
Kalıcılık mekanizması, sürekli sistem erişimini sağlamak için birden fazla gereksiz yoldan çalışır.
Kötü amaçlı yazılım, Windows Run anahtarındaki kayıt defteri girişlerini randomize adlarla oluşturur, her 12 saatte bir sınırlı ayrıcalıklarla her 12 saatte bir yürütme işlemini oluşturur ve Excel’in otomatik eklenti yükleme işlevselliğini kullanır.
Runner Executable, “/gömme” parametresini kullanarak Excel’i gizli modda başlatır ve kötü amaçlı Basicexcelmath.xll eklentisini, kullanıcılara görünür excel pencereleri görüntüleymeden otomatik olarak tetikler.
İlk XLL yürütülmesinden son kabine dağıtımına kadar tam enfeksiyon zinciri.
Kötü amaçlı yazılım, sanallaştırma yazılımı imzaları, işlemci çekirdeği ve bellek eşiği doğrulaması için BIOS parmak izi kontrolleri, kum havuzlu ortamları tespit etmek için CPUID zamanlama analizi ve PEB hata ayıklama bayrağı doğrulaması dahil olmak üzere kapsamlı anti-analiz önlemleri içerir.
Bu sofistike kaçırma teknikleri, kampanyanın güvenlik araştırma çabalarından kaçınmaya yönelik gelişmiş doğasını ve adanmışlığını göstermektedir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
