Rust tabanlı enjektör Freeze[.]rs, uç nokta algılama ve yanıtını (EDR) aşan kötü amaçlı bir PDF dosyası içeren gelişmiş bir kimlik avı kampanyasında hedeflere bir dizi kötü amaçlı yazılım sokmak için silah haline getirildi.
İlk olarak Temmuz ayında Fortinet’in FortiGuard Laboratuvarları tarafından keşfedilen kampanya, özel kimyasal veya endüstriyel ürün tedarikçileri de dahil olmak üzere Avrupa ve Kuzey Amerika’daki kurbanları hedefliyor.
Sonunda, bu zincir, firma tarafından yapılan bir analize göre, bir komut ve kontrol (C2) sunucusuyla iletişim kuran XWorm kötü amaçlı yazılımının yüklenmesiyle sonuçlanıyor. XWorm, fidye yazılımı yüklemekten kalıcı bir arka kapı görevi yapmaya kadar çok çeşitli işlevleri gerçekleştirebilir.
Diğer ifşaatlar, Discord topluluk sohbet platformu aracılığıyla kötü amaçlı yazılım ailelerini dağıtmak için sıklıkla kullanılan bir araç olan SYK Crypter’ın da dahil olduğunu ortaya çıkardı. Bu şifreleyici, Windows aygıtlarını denetleme ve izleme konusunda uzman, gelişmiş bir uzaktan erişim Truva Atı (RAT) olan Remcos’un yüklenmesinde rol oynadı.
EDR’yi Buza Koymak: Donmanın Örtüsünün Altında[.]rs Saldırı Zinciri
Araştırmalarında, ekibin kodlanmış algoritmalar ve API adları analizi, bu yeni enjektörün kökeninin izini, EDR güvenlik önlemlerini atlayabilecek yükleri işlemek için özel olarak tasarlanmış Red Team aracı “Freeze.rs”ye kadar sürdü.
Bir şirket blog yazısı, “Bu dosya bir HTML dosyasına yönlendiriyor ve uzak bir sunucudaki bir LNK dosyasına erişmek için ‘search-ms’ protokolünü kullanıyor.” “LNK dosyası tıklandığında, bir PowerShell betiği Freeze yürütür[.]Daha fazla saldırgan eylem için rs ve SYK Crypter.”
FortiGuard Labs araştırmacısı Cara Lin, Freeze’in[.]rs enjektörü, kabuk kodunu enjekte etmek için NT sistem çağrılarını çağırır ve bağlanabilecek Kernel base dll’deki standart çağrıları atlar.
“Bir EDR, bir süreç içinde sistem DLL’lerinin montajını takmaya ve değiştirmeye başlamadan önce meydana gelen hafif gecikmeyi kullanıyorlar” diyor. “Bir işlem askıya alınmış durumda oluşturulursa, minimum DLL’leri yüklenir ve EDR’ye özgü DLL’ler yüklenmez, bu da Ntdll.dll içindeki sistem çağrılarının değişmeden kaldığını gösterir.”
Lin, saldırı zincirinin, yükü teslim etmek için bir “search-ms” protokolüyle birlikte çalışan bubi tuzaklı bir PDF dosyası aracılığıyla başlatıldığını açıklıyor.
Bu JavaScript kodu, uzak bir sunucuda bulunan LNK dosyasını ortaya çıkarmak için “search-ms” işlevini kullandı.
“search-ms” protokolü, kullanıcıları bir Windows Gezgini Penceresi aracılığıyla uzak bir sunucuya yönlendirebilir.
“PDF simgesi olarak gizlenmiş aldatıcı bir LNK dosyasının kullanılması yoluyla, kurbanları dosyanın kendi sistemlerinden geldiğine ve yasal olduğuna inandırarak kandırabilir” diyor.
Bu arada, “SYK Crypter kalıcılık için kendisini Başlangıç klasörüne kopyalar, kodlama sırasında yapılandırmayı şifreler ve yürütüldüğünde şifresini çözer ve ayrıca gizleme için kaynaktaki sıkıştırılmış yükü şifreler” diye ekliyor.
Birinci katmanda kodlamanın yanı sıra bir indirici kullanılır ve ardından ikinci katman, dizi gizleme ve yük şifreleme içerir.
“Bu çok katmanlı strateji, statik analiz için karmaşıklığı ve zorluğu artırmak için tasarlandı” diyor. “Son olarak, belirli bir güvenlik satıcısını tanıdığında kendini sonlandırabilir.”
Artan Kimlik Avı Riskine Karşı Nasıl Savunma Yapılır?
Kimlik avı ve diğer mesajlaşma tabanlı saldırılar yaygın bir tehdit olmaya devam ediyor; şirketlerin %97’si son 12 ayda en az bir e-posta kimlik avı saldırısı gördü ve şirketlerin dörtte üçü e-posta tabanlı bir saldırıdan önemli maliyetler bekliyor.
Kimlik avı saldırıları, yeni teknolojiye ve kullanıcı davranışına uyum sağlayarak daha akıllı ve daha hedefli hale geliyor, mobil istismarları, marka kimliğine bürünmeyi ve yapay zeka tarafından oluşturulan içeriği kapsayacak şekilde gelişiyor.
Araştırma, riskleri azaltmak için güncel yazılımları korumanın, düzenli eğitim sağlamanın ve gelişen kimlik avı saldırılarına karşı savunma için gelişmiş güvenlik araçları kullanmanın çok önemli olduğunu belirtiyor.
Yeni bir araştırmaya göre, çalışanlar için kimlik avı simülasyonu eğitimi, kritik altyapı kuruluşlarında diğer sektörlerde olduğundan daha iyi çalışıyor gibi görünüyor; bu çalışanların %66’sı, bir eğitim yılı içinde en az bir gerçek kötü niyetli e-posta saldırısını doğru bir şekilde bildiriyor.