Mandiant, Ukrayna, Litvanya, Letonya ve Polonya’yı hedef alan bir UNC1151 bilgilendirme kampanyasının dezenformasyon içerdiğini tespit etti; CRIL, yakın zamanda gerçekleşen kötü amaçlı bir XLS kampanyasını UNC1151’e bağladı.
Saldırganlar, LNK ve DLL dosyalarını düşüren VBA makroları içeren Excel belgeleri içeren spam e-postalar kullandı; LNK’nin çalıştırılmasıyla DLL yüklendi ve muhtemelen sisteme bulaştı.
Kampanya, DLL’nin son yük dağıtımı için şifrelenmiş bir JPG indirmesi açısından öncekilerden farklıdır. Burada şifrelenmiş bir SVG indirilir ve bu, AgentTesla, Cobalt Strike veya njRAT gibi farklı bir son yüke olası bir geçişi önerir.
2023’te bir siber kampanya Ukrayna ve Polonya kuruluşlarını hedef aldı. Kampanya, kullanıcıları makroları etkinleştirmeleri için kandırmak amacıyla meşru belgeler gibi görünen silah haline getirilmiş Excel ve PowerPoint dosyalarını kullandı.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Daha sonra makrolar, karmaşık DLL’leri veya indiricileri indirip çalıştırdı; çünkü şifrelenmiş yükler, görünüşte zararsız olan JPG görüntü dosyalarının içinde gizlenmişti; bu veriler, bilgi hırsızlığı ve uzaktan sistem erişimi için njRAT, AgentTesla ve Cobalt Strike’ı kullanıyordu.
.webp)
Nisan 2024’te Ukrayna ordusunu hedef alan bir hedef odaklı kimlik avı saldırısı, drone görüntüleri ve makro içeren kötü amaçlı bir Excel elektronik tablosu (.xls) dahil olmak üzere sıkıştırılmış bir arşiv içeren e-postaların gönderildiği bir saldırıydı.
Kullanıcı Excel’i açıp makroları etkinleştirdiğinde, bir VBA makrosu bir kısayol dosyasını (CybereasonActiveProbe.lnk) ve kötü amaçlı bir DLL’yi (F072d76c85A40hjf9a3c0ab.dll) bırakır.
Makro daha sonra kısayolu yürütmek için Rundll32.exe’yi kullanır ve bu da başka bir Rundll32.exe çağrısı aracılığıyla DLL’yi SrvLicInitialize parametresiyle başlatır.
.webp)
Bu kötü amaçlı yazılım kampanyası, kullanıcıları makroları etkinleştirmeleri için kandırmak amacıyla Ukraynaca ilgi çekici içeriğe sahip bir Excel belgesinden yararlanıyor. Makroları etkinleştirdikten sonra VBA kodu, belirli kullanıcı dizinlerine bir LNK kısayolu ve kötü amaçlı bir DLL dosyası bırakır.
Makro daha sonra, DLL dosyasını başlatmak için Regsvr32.exe’den yararlanan Rundll32.exe’yi kullanarak LNK’yi çalıştırır ve yasal Windows işlemleri olarak gizlenen bir yürütme zinciri oluşturan kötü amaçlı davranışlara ulaşır.
.webp)
Kötü amaçlı bir .NET dosyası olan DLL yükleyici, öncelikle belirli işlemlerin varlığını doğrular ve herhangi bir işlem bulunursa kendisini sonlandırır.
Daha sonra sistem güvenlik ayarlarını değiştirir ve uzak sunucudan şifrelenmiş bir DLL indirir. İndirilen DLL’nin kodu Base64 ve XOR şifre çözme kullanılarak çözülür ve ardından Rundll32.exe kullanılarak yürütülür.
Yürütmenin ardından kötü amaçlı yazılım, DLL’yi uyur ve siler; bu, DLL’nin Regsvr32.exe kullanılarak yürütüldüğü ve kötü amaçlı işlemler için düz dizeler kullandığı önceki kampanyalardan farklıdır.
.webp)
Cyble’a göre bu yılın TTP saldırı kampanyası, nihai yük dağıtımı açısından geçen yılınkinden farklı. 2024’teki her iki yükleyici dosyası da kötü amaçlı bir SVG URL’sinden şifrelenmiş bir veri indirirken, geçen yıl şifrelenmiş veri bir JPG dosyasıydı.
RuntimeBinder kullanarak bir sonraki aşamayı indirme kodu daha karmaşık hale geldi. Daha basit Assembly.Load işlevi yerine Binder işlevi ve bu yıl şifresi çözülen yük, Rundll32.exe ve “SrvLicInitialize” parametresi kullanılarak başlatılan bir DLL’dir.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo