Ofis belgeleri genellikle iş iletişimlerinde kullanıldığından, bilgisayar korsanları kötü amaçlı kötü amaçlı yazılımları kolayca yaymak için bu durumdan yararlanır.
Bilgisayar korsanları, kötü amaçlı yazılımları güvenli görünen belgelerde gizleyerek kullanıcıları yanlışlıkla kötü amaçlı yazılımları etkinleştirme konusunda yanıltabilir, bu da kötü amaçlı yazılımın sistemlere ve ağlara erişmesine olanak tanır.
AhnLab Güvenlik İstihbarat Merkezi’ndeki (ASEC) siber güvenlik araştırmacıları, yakın zamanda bilgisayar korsanlarının VenomRAT’ı dağıtmak için silahlı Office belgelerinden aktif olarak yararlandığını tespit etti.
HERHANGİ BİR ÇALIŞTIRMA Sandbox’ındaki Şüpheli Dosyaları ve Bağlantıları Güvenle Açın; Tüm Özellikleri Ücretsiz Deneyin. Kötü amaçlı yazılım davranışını anlayın, IOC’leri toplayın ve kötü amaçlı eylemleri TTP’lerle kolayca eşleştirin; tüm bunları etkileşimli sanal alanımızda yapın.
Ücretsiz deneme
Office Belgeleri VenomRAT’ı Sunuyor
ASEC, VenomRAT (AsyncRAT) sağlayan kötü amaçlı bir kısayol dosyası olan ‘Survey.docx.lnk’yi keşfetti ve bu dosya, orijinal bir metin dosyasıyla birlikte sıkıştırılmış bir dosyada paketlenmiş okunaklı bir Word dosyası olarak gizlendi.
Saldırıda, Koreli bir şirketin sertifikası olarak maskelenen ‘blues.exe’ kullanılıyor ve bu da dikkatli olunmasını gerektiriyor. LNK dosyası, “mshta” aracılığıyla harici bir URL’ye bağlanan kötü amaçlı komutları çalıştırır. Kodu çözülen URL, dosyaları %appdata%’ye indiren PowerShell komutlarını gösterir.
İndirilen ‘qfqe.docx’ masum görünüyor, ancak ‘blues.exe’ bir kötü amaçlı yazılım indiricisidir. Çalıştırıldığında, PowerShell aracılığıyla ‘sys.ps1’ de dahil olmak üzere ek komut dosyaları indirilir ve bu komut dosyaları, ‘adb.dll’ dosyasından dosyasız bir biçimde daha fazla veri alır.
Bunun yanı sıra, ‘adb.dll’, XORing Base64 tarafından ‘sorootktools’ dizesiyle şifresi çözülmüş kodlanmış bir kabuk kodu içerir.
VenomRAT (AsyncRAT) tarafından yürütülen kabuk kodu aşağıdakileri gerçekleştirir: –
- Keylogging
- PC bilgileri sızdırılıyor
- Tehdit aktörünün komutlarına uyuyor
Yasal belgelere benzeyen kötü amaçlı kısayol dosyaları, gizli ‘.lnk’ uzantısı nedeniyle aktif olarak yayılır ve kullanıcının dikkatli olmasını gerektirir.
IoC’ler
Dosya Algılama
- Trojan/LNK.Runner (2024.01.16.00)
- Trojan/HTML.Agent.SC196238 (2024.01.17.00)
- Trojan/Win.Generic.C5572807 (2024.01.12.03)
- Trojan/PowerShell.Agent (2024.01.17.00)
- Trojan/Win.Generic.C5337844 (2022.12.21.00)
Davranış Tespiti
- Yürütme/MDP.Powershell.M2514
MD5
- 2dfaa1dbd05492eb4e9d0561bd29813b
- f57918785e7cd4f430555e6efb00ff0f
- e494fc161f1189138d1ab2a706b39303
- 2d09f6e032bf7f5a5d1203c7f8d508e4
- 335b8d0ffa6dffa06bce23b5ad0cf9d6
K&K
- hxxp://194.33.191[.]248:7287/docx1.hta
- hxxp://194.33.191[.]248:7287/qfqe.docx
- hxxp://194.33.191[.]248:7287/blues.exe
- hxxp://194.33.191[.]248:7287/sys.ps1
- hxxp://194.33.191[.]248:7287/adb.dll
- 194.33.191[.]248:4449