Bir siber tehdit grubu olan Yapışkan Kurtadam, hedefleme stratejisini, kötü amaçlı dosyalara indirme bağlantıları içeren kimlik avı e-postaları göndermekten, WebDAV sunucularında barındırılan kötü amaçlı yürütülebilir dosyalara kısayol işlevi gören LNK dosyalarını içeren arşiv eklerini kullanmaya kaydırdı.
Bir kullanıcı LNK’ye tıkladığında, bir toplu komut dosyası tetiklenir ve bu komut dosyası, geleneksel kimlik avı taktiklerini atlayan ve kullanıcının LNK dosyasını çalıştırması durumunda doğrudan kötü amaçlı yazılım enjekte eden, son veriyi sağlamak üzere tasarlanmış bir AutoIt komut dosyasını başlatır.
Yapışkan Kurtadam adlı bir siber casusluk grubu, meşru bir Rus havacılık ve uzay şirketi olan AO OKB Kristall’den iş daveti olarak gizlenen kimlik avı e-postalarıyla havacılık endüstrisini hedef alıyor; e-postalar, DOCX belgeleri gibi görünen iki kötü amaçlı LNK dosyası ve sahte bir PDF içeren bir arşiv eki içeriyor. dosya.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
LNK dosyalarına tıklamak, nihai yükü sağlamak için bir AutoIt komut dosyasını başlatan bir Toplu komut dosyasını tetikler; bu, Sticky Werewolf’un kötü amaçlı yazılımları doğrudan dosya paylaşım platformlarından indirmek için bağlantıları kullanma yönündeki önceki taktiklerinden önemli bir değişikliktir.
Sahte PDF eki içeren bir kimlik avı e-postası, Rus helikopterleriyle ilgili işletmeleri hedef alıyor; PDF’de bir video konferanstan bahsediliyor ve toplantı belgeleri olarak gizlenen iki kötü amaçlı LNK dosyasına atıfta bulunuluyor.
LNK dosyalarına tıklamak, bir ağ paylaşımından kötü amaçlı bir yürütülebilir dosyayı indirmek ve çalıştırmak için CypherIT şifreleyicinin bir çeşidi olan NSIS kendi kendine açılan arşivini tetikler.
Ayıklanan dosyalar Internet Explorer’ın geçici dosyalar dizinine yerleştirilir ve ardından bir toplu komut dosyası yürütülür.
Word belgeleri olarak gizlenen iki kötü amaçlı LNK dosyası, kullanıcıları hedefler ve LNK’lerden herhangi birine tıklamak bir dizi olayı tetikler; ilk olarak LNK, oturum açma sırasında güvenliği ihlal edilmiş bir WINWORD.exe dosyasını çalıştırmak için bir kayıt defteri girdisi ekler.
Daha sonra kullanıcının dikkatini dağıtmak için bir tuzak hata mesajı görüntüler. İlk LNK, potansiyel olarak yanıltıcı bir görüntü dosyasını kopyalarken, ikinci LNK de benzer şekilde davranarak kötü amaçlı bir WINWORD.exe dosyasını başlatır.
LNK içindeki bir toplu komut dosyası, belirli antivirüs işlemleri çalışıyorsa yürütmeyi geciktirir ve tespit edilmekten kaçınmak için potansiyel olarak dosyaları yeniden adlandırır.
Son olarak, komut dosyası meşru bir AutoIt yürütülebilir dosyasını kötü amaçlı bir komut dosyasıyla birleştirir ve bunları çalıştırır.
Bu kötü amaçlı AutoIT komut dosyası, tespit edilmekten kaçınmayı, kalıcılık sağlamayı ve güvenlik ortamları ile hata ayıklayıcıların imzalarını kontrol etmeyi amaçlamaktadır. Takılmayı atlamak için ntdll.dll dosyasının temiz bir kopyasını enjekte ederek tüm izleme girişimlerini etkili bir şekilde ortadan kaldırır.
Kalıcılık, zamanlanmış görevler veya başlangıç dizini değişiklikleri yoluyla elde edilir; burada komut dosyası içinde gizlenen yükün şifresi, kullanıcı tanımlı bir parola içeren iki aşamalı bir RC4 işlemi kullanılarak çözülür.
Morphisec’e göre, şifresi çözülmüş ve sıkıştırılmış yükü açılmış veri, meşru bir AutoIT sürecine açılan süreç yoluyla enjekte ediliyor ve bu da tespit edilmesini zorlaştırıyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo