Yakın zamanda XenoRAT’ı kullanan yeni bir saldırı vektörü ortaya çıkarıldı; bu, Excel XLL dosyaları aracılığıyla sunulan açık kaynaklı bir uzaktan erişim aracıdır.
Bu karmaşık yaklaşım, tehdit aktörlerinin güvenlik önlemlerini atlatmak ve sistemlere sızmak için gelişen taktiklerini gösteriyor.
Hunt araştırmacıları, kötü amaçlı yazılım depolarını analiz ederken bu yeni XenoRAT örneğine rastladılar. Genellikle oyuncuları hedef aldığı bilinen kötü amaçlı yazılımın, Excel-DNA çerçevesi kullanılarak oluşturulan ve ConfuserEx tarafından korunan bir XLL dosyası olarak paketlenmiş olduğu bulundu.
Hunt’taki güvenlik analistleri, XenoRAT’ın erişilebilirliği ve çeşitli kampanyalarda yaygın kullanımıyla ün kazanan C# dilinde kodlandığını gözlemledi.
Daha önce hedef odaklı kimlik avı ve yazılım maskeleme yoluyla oyuncuları hedef alan bu yazılım, artık erişim alanını genişletti.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Teknik Analiz
“Ödeme Ayrıntıları” olarak gizlenen kötü amaçlı yazılım örneği, çok aşamalı bir saldırı süreci kullanıyor: –
- İlk Teslimat: Excel-DNA ile oluşturulmuş bir XLL dosyası
- Şaşırtma: Analizi engellemek için ConfuserEx’in yoğun kullanımı
- Yürütme Zinciri: Aşağıdakiler de dahil olmak üzere bir dizi karmaşık olayı tetikler:-
- Karışık bir toplu iş dosyasını başlatma
- SFX RAR arşivini yürütme
- Meşruiyet yanılsamasını sürdürmek için sahte bir PDF görüntüleme
.webp)
Saldırganlar tespit edilmekten kaçınmak için çeşitli karmaşık yöntemler uyguladı: –
- Excel-DNA’nın Kötüye Kullanımı: Sıkıştırılmış .NET derlemelerini doğrudan belleğe yüklemek için yasal bir Excel geliştirme aracından yararlanma
- Şaşırtma: İşlevselliği gizlemek için yoğun şekilde gizlenmiş “ANA” modül
- Zaman Damgası Manipülasyonu: Güvenlik filtrelerini atlamak için anormal derleme zaman damgası (22.10.2052)
TCP bağlantı noktası 1391 üzerinden iletişim kuran tanımlanan komut ve kontrol (C2) sunucusu Bulgaristan’da barındırılmaktadır. RDP bağlantı noktasında, gelecekteki izleme için potansiyel yollar sağlayan kendinden imzalı bir sertifika algılandı.
Bu yeni saldırı vektörü, tehdit aktörlerinin uyarlanabilirliğini ve daha az yaygın olan dosya uzantılarıyla ilişkili potansiyel riskleri vurguluyor. Güvenlik uzmanlarına aşağıdakiler tavsiye edilir: –
- XLL dosyalarının ve diğer yaygın olmayan uzantıların daha sıkı izlenmesini sağlayın
- Gizlenmiş kötü amaçlı yazılımlara yönelik algılama yeteneklerini geliştirin
- Potansiyel güvenlik açıklarını azaltmak için sistemleri düzenli olarak güncelleyin ve yama yapın
Tehdit aktörleri taktiklerini geliştirmeye devam ederken, dikkatli olmak ve güvenlik önlemlerini uyarlamak, kötü amaçlı yazılım tehditlerine karşı devam eden mücadelede hayati önem taşıyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin