Splunk’tan araştırmacılar, öncelikle ABD’nin batı kıyısında ve Çin’de bulunan 4.000’den fazla İnternet servis sağlayıcısını (ISS) hedefleyen karmaşık bir kötü amaçlı yazılım kampanyası belirlediler.
Doğu Avrupa’dan kaynaklanan kampanya, kripto para birimi madenciliği ve hassas bilgileri çalırken kalıcı erişim sağlamak için kimlik bilgisi kaba kuvvet saldırıları ve gizli kötü amaçlı yazılımların bir kombinasyonunu kullanıyor.
28 Şubat 2025 raporuna göre, saldırganlar Windows Uzaktan Yönetimi (WINRM) hizmetleri aracılığıyla ISS altyapısına ilk erişim elde etmek için zayıf kimlik bilgilerini kullanıyorlar.
Erişim kurulduktan sonra, tehdit aktörleri kriptominerler ve kripto para birimi işlemlerini izlemek için tasarlanmış bilgi çalma kötü amaçlı yazılımlar da dahil olmak üzere birkaç kötü amaçlı bileşen dağıtır.
Kötü amaçlı yazılım altyapısı, birincil enfeksiyon vektörü, kendi kendine ekleyen bir RAR arşivi olan MIG.rdp.exe adlı bir dosya ile birden fazla bileşenden oluşur.
.webp)
Bu dosya, güvenlik özelliklerini devre dışı bırakırken ve kalıcılık mekanizmaları oluştururken kripto para madenciliği yazılımını dağıtan Migrate.exe dahil ek bileşenleri açar.
“Tehdit oyuncusu, şifreler bilinmediğinde veya şifre karmaları elde edildiğinde hesaplara erişmek için kaba kuvvet tekniklerini kullandı.”
Splunk’taki araştırmacılar, “Kullanıcı adı ve şifre kurtarıldıktan sonra, yükü dağıtmak için WinRM hizmetini yürütecek” dedi.
Bu kampanyanın özellikle ilgili bir yönü, kripto para birimi cüzdanı adreslerini arayan bir pano izleme aracı olan microsoftprt.exe adlı bir bileşenin dağıtılmasıdır.
Tespit edildiğinde, kötü amaçlı yazılım, meşru cüzdan adreslerini saldırganlar tarafından kontrol edilenlerle değiştirerek işlemleri etkili bir şekilde ele geçirir.
Kötü amaçlı yazılımların analizi
Kötü amaçlı yazılım, kalıcılığı korumak ve tespitten kaçınmak için sofistike teknikler içerir.
Örneğin, dosyalarına erişimi kısıtlamak için ICACLS komutunu kullanarak dosya izinlerini değiştirir ve yöneticilerin enfeksiyonu kolayca kaldırmasını önler.
Kötü amaçlı yazılımdan bir kod parçacığı, erişim izinlerini nasıl kısıtladığını ortaya çıkarır:-
Run(@ComSpec & "/c " & "icacls " & @ScriptDir & '/deny "%username%:(R,REA,RA,RD)"', @ScriptDir, @SW_HIDE)
Run(@ComSpec & " /c " & "icacls " & @ScriptDir & ' /deny "Users:(R,REA,RA,RD)"', @ScriptDir, @SW_HIDE)
Run(@ComSpec & " /c " & "icacls " & @ScriptDir & ' /deny "Administrators:(R,REA,RA,RD))"', @ScriptDir, @SW_HIDE)Saldırganlar ayrıca Telegram API’sını bir komut ve kontrol kanalı olarak kullanıyor ve sunucularına pano içeriği ve ekran görüntüleri dahil çalıntı bilgileri gönderiyor.
Güvenlik ekiplerine şüpheli WINRM faaliyetlerini izlemeleri ve benzer saldırıları önlemek için güçlü şifre politikaları uygulamaları tavsiye edilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.