UUE Dosyası Olarak Dağıtılan Remcos RAT’ı Sağlayan Aktörleri Tehdit Ediyor

   Mayıs 27, 2024  Posted in CyberSecurityNews


UUE (Uuencoding) Dosyası Olarak Dağıtılan Remcos RAT'ı Sağlayan Aktörleri Tehdit Ediyor

AhnLab Güvenlik İstihbarat Merkezi (ASEC), Power Archiver ile sıkıştırılmış UUE (UUEncoding) dosyaları aracılığıyla dağıtılan Remcos RAT kötü amaçlı yazılımının doğruluğunu doğruladı.

Kötü amaçlı yazılım dağıtımının bu karmaşık yöntemi, ihracat/ithalat gönderileriyle ilgili e-postalar veya fiyat teklifleri olarak gizlenen kimlik avı e-postalarında gözlemlendi ve bu da alıcıların dikkatli olmasını çok önemli hale getiriyor.

Kimlik avı e-postası
Kimlik avı e-postası

UUEncoding: Tespiti Atlatmak İçin Bir Yöntem

Ahnlab raporlarına göre Saldırganlar, UUEncoding yöntemi kullanılarak kodlanan VBS script dosyalarını ekli dosyalar aracılığıyla dağıtıyor.

Unix-to-Unix Encode’un kısaltması olan UUEncoding, Unix sistemleri arasında veri alışverişi için kullanılır.

ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service

İkili verileri ASCII metin biçiminde kodlar, bu da algılama mekanizmalarını atlamaya yardımcı olabilir.

UUE kodlu VBS Komut Dosyası
UUE kodlu VBS Komut Dosyası

UUE (UUEncoding) dosyasının yapısı bir başlık (başlangıç), kodlanmış veriler ve bir sondan (son) oluşur. Kodu çözüldüğünde, aşağıda gösterildiği gibi gizlenmiş VBS betiği ortaya çıkar.

Gizlenmiş VBS Komut Dosyası
Gizlenmiş VBS Komut Dosyası

İndirici: Enfeksiyona Giden Yol

VBS betiği, Talehmmedes.txt dosya adıyla %Temp% yoluna bir PowerShell betiği kaydedilerek yürütülür.

Bu PowerShell betiği kötü amaçlı bir URL’ye erişir ve Haartoppens.Eft adlı dosyayı %AppData% yoluna indirir ve ek PowerShell betikleri çalıştırılır.

Ek PowerShell betiği de analize müdahale edecek şekilde gizlenmiştir. Ana işlevi, kabuk kodunu wab.exe işlemine yüklemektir.

Kabuk kodu, kalıcılığı korumak için bir kayıt defterini kaydeder ve başka bir kötü amaçlı URL’ye erişerek ek veriler yükler. Yürütülen son kötü amaçlı kod Remcos RAT’tır.

Kayıt Kayıt 1
Kayıt Kayıt 1

Remcos RAT: Son Yük

Remcos RAT, sistem bilgilerini belirli bir URL aracılığıyla toplar, keylogging verilerini %AppData% yolunda mifvghs.dat olarak kaydeder ve bunu Komuta ve Kontrol (C&C) sunucusuna iletir.

Remcos RAT Ayarları
Remcos RAT Ayarları

C&C Sunucu Bilgileri

  • frabyst44habvous1.duckdns[.]kuruluş:2980:0
  • frabyst44habvous1.duckdns[.]kuruluş:2981:1
  • frabyst44habvous2.duckdns[.]kuruluş:2980:0

Kullanıcılar, bilinmeyen kaynaklardan gelen e-postalardaki ekleri çalıştırmaktan kaçınmalıdır.

Bir ek indirildiyse makroları yürütmekten (izin vermekten) kaçının.

İstenmeyen işlevlerin çalışmasını önlemek için belge programlarının güvenlik ayarlarının yüksek bir düzeye ayarlandığından emin olun.

Ayrıca antivirüs motoru modeli sürümünün en son sürüme güncellenmesi önerilir.

Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers



Source link