Rusça konuşan kullanıcılar, DarkCrystal RAT (aka DCRat) ve PowerRAT adlı daha önce belgelenmemiş bir uzaktan erişim truva atı sunmak için Gophish adlı açık kaynaklı bir kimlik avı araç setini kullanan yeni bir kimlik avı kampanyasının hedefi haline geldi.
Cisco Talos araştırmacısı Chetan Raghuprasad Salı günü yaptığı bir analizde, “Kampanya, Maldoc veya HTML tabanlı enfeksiyonlar olan ve kurbanın enfeksiyon zincirini tetiklemek için müdahalesini gerektiren modüler enfeksiyon zincirlerini içeriyor.” dedi.
Rusça konuşan kullanıcıların hedeflenmesi, kimlik avı e-postalarında kullanılan dilden, kötü amaçlı belgelerdeki yem içeriğinden, Yandex Disk (“disk-yandex”) kılığına giren bağlantılardan elde edilen bir değerlendirmedir.[.]ru”) ve ülkede ağırlıklı olarak kullanılan bir sosyal ağ olan VK olarak gizlenen HTML web sayfaları.
Gophish, kuruluşların kullanımı kolay şablonlardan yararlanarak kimlik avı savunmalarını test etmelerine ve daha sonra neredeyse gerçek zamanlı olarak izlenebilecek e-posta tabanlı kampanyalar başlatmalarına olanak tanıyan açık kaynaklı bir kimlik avı çerçevesini ifade eder.
Kampanyanın arkasındaki bilinmeyen tehdit aktörünün, hedeflerine kimlik avı mesajları göndermek ve sonuçta kullanılan ilk erişim vektörüne (kötü amaçlı bir Microsoft Word belgesi veya HTML gömülü JavaScript) bağlı olarak DCRat veya PowerRAT’ı göndermek için araç setinden yararlandığı gözlemlendi.
Kurban maldoc’u açıp makroları etkinleştirdiğinde, bir HTML uygulaması (HTA) dosyasını (“UserCache.ini.hta”) ve bir PowerShell yükleyicisini (“UserCache.ini”) çıkarmak için hileli bir Visual Basic (VB) makrosu yürütülür.
Makro, bir Windows Kayıt Defteri anahtarının, bir kullanıcı cihazdaki hesabına her giriş yaptığında HTA dosyasının otomatik olarak başlatılacağı şekilde yapılandırılmasından sorumludur.
HTA dosyası, PowerShell Yükleyicisinin yürütülmesinden sorumlu olan bir JavaScript dosyasını (“UserCacheHelper.lnk.js”) bırakır. JavaScript, “cscript.exe” adlı meşru bir Windows ikili programı kullanılarak yürütülür.
Raghuprasad, “INI dosyası gibi görünen PowerShell yükleyici betiği, kurbanın makine belleğinin kodunu çözen ve çalıştıran PowerRAT yükünün base64 kodlu veri bloğunu içeriyor.” dedi.
Kötü amaçlı yazılım, sistem keşfi gerçekleştirmenin yanı sıra sürücünün seri numarasını da topluyor ve Rusya’da bulunan uzak sunuculara (94.103.85) bağlanıyor.[.]47 veya 5.252.176[.]55) daha fazla talimat almak için.
“[PowerRAT] tarafından yönlendirildiği şekilde diğer PowerShell komut dosyalarını veya komutlarını yürütme işlevine sahiptir. [command-and-control] kurban makinede daha fazla virüs bulaşması için saldırı vektörünü etkinleştiriyor.”
Sunucudan yanıt alınmaması durumunda PowerRAT, gömülü bir PowerShell betiğinin kodunu çözen ve çalıştıran bir özellik ile donatılmıştır. Şu ana kadar analiz edilen örneklerin hiçbirinde Base64 kodlu dizeler bulunmuyor, bu da kötü amaçlı yazılımın aktif olarak geliştirilme aşamasında olduğunu gösteriyor.
Benzer şekilde, kötü amaçlı JavaScript içeren HTML dosyalarını kullanan alternatif enfeksiyon zinciri, DCRat kötü amaçlı yazılımının yayılmasına yol açan çok adımlı bir süreci tetikliyor.
Talos, “Bir kurban, kimlik avı e-postasındaki kötü amaçlı bağlantıya tıkladığında, kötü amaçlı JavaScript içeren uzak bir HTML dosyası, kurbanın makinesinin tarayıcısında açılıyor ve aynı anda JavaScript’i çalıştırıyor” dedi. “JavaScript, kötü amaçlı bir SFX RAR yürütülebilir dosyasının 7-Zip arşivinin Base64 kodlu veri bloğuna sahip.”
HTML kaçakçılığı adı verilen bir teknikle indirilen arşiv dosyasında (“vkmessenger.7z”), RAT yükünü içeren, parola korumalı başka bir SFX RAR bulunur.
Kesin enfeksiyon dizisinin, DCRat’ı sunmak için TrueConf ve VK Messenger’ı taklit eden sahte HTML sayfalarından yararlanan bir kampanyayla bağlantılı olarak Netskope Threat Labs tarafından ayrıntılı olarak açıklandığını belirtmekte fayda var. Ayrıca, SparkRAT sağlayan kampanyalarda yuvalanmış, kendi kendine açılan bir arşivin kullanıldığı daha önce gözlemlenmişti.
Raghuprasad, “SFX RAR yürütülebilir dosyası, bazı örneklerde kötü amaçlı yükleyici veya bırakıcı yürütülebilir dosyalar, toplu iş dosyası ve bir tuzak belgeyle birlikte paketlenmiştir.” dedi.
“SFX RAR, GOLoader’ı ve sahte belge Excel elektronik tablosunu kurban makinenin kullanıcı profili uygulamalarının geçici klasörüne bırakır ve sahte belgeyi açarken GOLoader’ı çalıştırır.”
Golang tabanlı yükleyici ayrıca DCRat ikili veri akışını, artık kaldırılmış bir GitHub deposuna işaret eden sabit kodlu bir URL aracılığıyla uzak bir konumdan almak ve bunu kurbanın masaüstü klasörüne “file.exe” olarak kaydetmek için tasarlanmıştır. makine.
DCRat, hassas verileri çalabilen, ekran görüntüleri ve tuş vuruşlarını yakalayabilen, ele geçirilen sisteme uzaktan kumanda erişimi sağlayabilen ve ek dosyaların indirilmesini ve yürütülmesini kolaylaştırabilen modüler bir RAT’tır.
Talos, “Farklı aralıklarla veya Windows oturum açma işlemi sırasında çalışacak çeşitli Windows görevleri oluşturarak kurbanın makinesinde kalıcılık sağlıyor” dedi. “RAT, C2 sunucusuyla RAT yapılandırma dosyasında sabit kodlanmış bir URL aracılığıyla iletişim kurar […] ve kurbanın makinesinden toplanan hassas verileri dışarı sızdırıyor.”
Bu gelişme, Cofense’in, Güvenli E-posta Ağ Geçitleri (SEG’ler) tarafından algılanmayı önlemenin ve sonuçta Remcos RAT veya XWorm’u dağıtmanın bir yolu olarak sanal sabit disk (VHD) dosyalarındaki kötü amaçlı içeriği birleştiren kimlik avı kampanyaları konusunda uyardığı dönemde gerçekleşti.
Güvenlik araştırmacısı Kahng An, “Tehdit aktörleri, sanal sabit disk dosyaları içeren .ZIP arşiv ekleri veya kurban tarafından bağlanabilen ve göz atılabilen sanal bir sabit disk dosyası içeren indirmelere gömülü bağlantılar içeren e-postalar gönderiyor” dedi. “Bundan sonra kurban, kötü niyetli bir veriyi çalıştırma konusunda yanıltılabilir.”