XWorm Kötü Amaçlı Yazılımı, Yeni Saldırı Dalgasında Follina Güvenlik Açığı Kullanıyor


12 Mayıs 2023Ravie LakshmananSiber Tehdit / Kötü Amaçlı Yazılım

XWorm Kötü Amaçlı Yazılımı

Siber güvenlik araştırmacıları, XWorm kötü amaçlı yazılımını hedeflenen sistemlere dağıtmak için benzersiz bir saldırı zincirinden yararlanan, devam eden bir kimlik avı kampanyası keşfettiler.

adı altında aktivite kümesini takip eden Securonix MEME#4CHANbazı saldırıların öncelikle Almanya’da bulunan imalat firmalarını ve sağlık kliniklerini hedef aldığını söyledi.

Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, The Hacker News ile paylaşılan yeni bir analizde, “Saldırı harekatı, kurbanlarını etkilemek için oldukça olağandışı memlerle dolu PowerShell kodundan yararlanıyor ve ardından ağır şekilde gizlenmiş bir XWorm yükü kullanıyor.”

Rapor, tehdit aktörünün kurbanları XWorm ve Ajan Tesla yüklerini teslim edebilen kötü amaçlı belgeleri açmaları için kandırmak için rezervasyon temalı tuzaklarını ortaya çıkaran Elastic Security Labs’ın son bulgularına dayanıyor.

Siber güvenlik

Saldırılar, makro kullanmak yerine Follina güvenlik açığını (CVE-2022-30190, CVSS puanı: 7.8) gizlenmiş bir PowerShell betiğini düşürmek için silah haline getiren sahte Microsoft Word belgelerini dağıtmak için kimlik avı saldırılarıyla başlar.

Oradan, tehdit aktörleri, Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimini (AMSI) atlamak, Microsoft Defender’ı devre dışı bırakmak, kalıcılık sağlamak ve nihayetinde XWorm içeren .NET ikilisini başlatmak için PowerShell komut dosyasını kötüye kullanır.

XWorm Kötü Amaçlı Yazılımı

İlginç bir şekilde, PowerShell betiğindeki değişkenlerden birinin adı “$CHOTAbheem”dir ve bu büyük olasılıkla şuna bir göndermedir: chhota bheembir Hint animasyon komedi macera televizyon dizisi.

The Hacker News’e konuşan araştırmacılar, “Hızlı bir kontrole göre, saldırıdan sorumlu kişi veya grubun Orta Doğu/Hindistan kökenli olabileceği anlaşılıyor, ancak nihai atıf henüz doğrulanmadı.” örtü olarak da kullanılabilir.

XWorm, yeraltı forumlarında satışa sunulan ve virüs bulaşmış ana bilgisayarlardan hassas bilgileri sifonlamasına olanak tanıyan çok çeşitli özelliklerle birlikte gelen ticari bir kötü amaçlı yazılımdır.

YAKLAŞAN WEBİNAR

Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin

Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.

Koltuğumu Kurtar!

Kötü amaçlı yazılım, kesme, DDoS ve fidye yazılımı işlemleri gerçekleştirebilmesi, USB aracılığıyla yayılabilmesi ve ek kötü amaçlı yazılım bırakabilmesi açısından aynı zamanda bir İsviçre Çakısıdır.

Securonix, saldırı metodolojisinin geçmişte konaklama endüstrisini vurduğu gözlemlenen TA558’inkine benzer eserler paylaştığını söylese de, tehdit aktörünün kesin kökenleri şu anda belirsiz.

“Microsoft makroları varsayılan olarak devre dışı bırakma kararı aldığından, kimlik avı e-postaları nadiren Microsoft Office belgelerini kullansa da, bugün, özellikle de VBscript yürütmesinin olmadığı bu durumda, kötü amaçlı belge dosyaları konusunda dikkatli olmanın hala önemli olduğunun kanıtlarını görüyoruz. makrolar” dedi araştırmacılar.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link