TA558 olarak da bilinen RevengeHotels, uzun süredir devam eden siber suç kampanyasını yapay zekayı enfeksiyon zincirlerine dahil ederek, güçlü Venomrat kötü amaçlı yazılımlarını Windows kullanıcılarına karşı konuşlandırarak artırdı.
2015’ten beri aktif olan bu tehdit oyuncusu, geleneksel olarak otel konuklarını ve gezginleri hedef aldı ve kimlik avı e -postaları aracılığıyla ödeme kartı verilerini çaldı.
Bununla birlikte, son kampanyalar belirgin bir değişim gösteriyor: AI tarafından oluşturulan yükleyici komut dosyaları ve modüler JavaScript ve PowerShell indiricileri artık gelişmiş gizli, kalıcılık ve kontrol sunan Venomrat implantlarının teslimatını kolaylaştırıyor.
En son saldırı dalgası, gecikmiş faturalar veya otel rezervasyonu ve İK adreslerine gönderilen hileli iş başvuruları etrafında temalı özel kimlik avı e -postaları ile başlar.
Gömülü bağlantıyı tıklayan alıcılar, belge depolama portallarını taklit eden saldırgan kontrollü web sayfalarına yönlendirilir.
Bu siteler, kurbanın geçici klasörüne bağlı olarak fat {number} .js biçiminde bir WScript JS dosyasını otomatik olarak indirir.
Analiz, bu yükleyici komut dosyalarının çarpıcı bir şekilde iyi birleştirilmiş ve modüler olduğunu, bu da büyük dil modelleri tarafından oluşturulduğunu gösteriyor.
Ağır gizlemeye dayanan geçmiş örneklerin aksine, bu AI tarafından üretilen komut dosyaları temiz bir şekilde yapılandırılmıştır, dinamik değişkenler için yer tutucular ve her işlev için tanımlayıcı yorumlar içerir.
Yükleyici yürütüldükten sonra, bir PowerShell dosyasını kodlar ve yazar – sgdohbzqwplkxcaothwdbglnqjlzcgbovglh_ {timestamp} .ps1 – sisteme, algılamayı evlendirmek için tasarlanmış bir süreç olan bellek üçüne çağırmadan önce sisteme.
Venomrat teslimatı ve infaz
PowerShell Downloader, iki temel kodlu dosya getirir: venumentrada.txt (giriş yükleyici) ve runpe.txt (bellek içi yürütme saplaması).
Venumentrada.txt, daha sonra yükü diske yazmadan Venomrat implantını doğrudan yürüten yoğun bir bellek içi yükleyiciyi yeniden yapılandırır.
2020’de sızan açık kaynaklı Quasarrat’ın gelişmiş bir çatalı olan Venomrat, gizli VNC (HVNC), ters proxy, dosya yakalama, UAC sömürüsü ve sağlam şifreleme rutinleri (HMAC-SHA256 doğrulaması ile AES-128) gibi yetenekler sunar.
Lansmandan sonra Venomrat, Enable Procatection’ı süreç güvenlik tanımlayıcısını sertleştirmek için çağırarak, sonlandırılmasına izin verebilecek DACL girişlerini kaldırıyor.
Eşzamanlı olarak, bir izleme iş parçacığı, hata ayıklayıcıları, .NET analizörleri ve adli araçlar gibi güvenlik ile ilgili süreçleri tanımlamak ve anında öldürmek için her 50 milisaniyede bir yineleme yapar.
Kalıcılığı korumak için Venomrat, sonlandırılırsa sıçanı yeniden başlatacak HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Runonce ve Loops’u dolduran bir VBS komut dosyası oluşturur.
İdari ayrıcalıklara sahip sistemlerde, Sedebugprivilege’e yükselir ve kullanıcı tarafından başlatılan fesih girişimlerini engelleyerek kendini kritik bir süreç olarak işaretler.
Venomrat, komut ve kontrol sunucularıyla sağlam bir iletişim kanalı oluşturur.
Giden paketler, şanzımandan önce serileştirme, LZMA sıkıştırma ve AES-128 şifrelemesine tabi tutulur.
Gelen komutlar şifre çözülür ve tersine dekompize edilir. Ağ kısıtlamalarını atlamak için sıçan, NGROK tünellerini yükler ve yapılandırır, uzak masaüstü protokollerinin (RDP ve VNC) meşru görünümlü alt alanlar altında güvenlik duvarlarını geçmesine izin verir.
Venomrat ayrıca, algılanan herhangi bir USB sürücüsüne “Pictures.exe” olarak kopyalayarak çıkarılabilir ortam yoluyla yayılır.
Yürütülebilir akışları yürütülebilir hale getirerek, Web’in işaretli savunmalarını önler ve Windows olay günlüklerini adli parkurları silmek için saldırganlara neredeyse tam bir adli karartma verdi.
Hedefleme ve görünüm
RevengeHotels’in en son operasyonları Brezilya otellerine odaklanıyor, ancak İspanyolca konuşan pazarlara genişledi, Meksika, Şili ve Arjantin’deki mekanları hedeflemek için İspanyolca hazırlanmış kimlik avı e-postaları.
Portekizli temalı alan adları, yükleri barındıran alan adları sık sık dönerek karan karmaşıklaşan siyah liste çabalarını. Fatura ve İK lures, AI tarafından üretilen yükleyici komut dosyaları ve gelişmiş sıçan implantlarının tutarlı kullanımı, RevengeHotels’in gelişen yeteneklerinin altını çizmektedir.
Ağırlama sektöründeki kuruluşlar, kimlik avı bilincini artırmalı, davranış tabanlı algılama araçlarını dağıtmalı ve katı senaryo engelleme politikalarını uygulamalıdır.
Uç nokta çözümleri bellek içi yürütmeyi denetlemeli ve yetkisiz NGROK işlemlerini izlemelidir.
Yapay zeka, kötü amaçlı yazılım geliştirme engelini düşürmeye devam ettikçe, RevengeHotels gibi tehdit aktörleri TTP’lerini geliştirecek ve hızlandıracak, bu da proaktif savunma ve hızlı olay tepkisini daha kritik hale getirecek.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.