Güvenlik araştırmacıları, sosyal mühendislik ve silahlı bulut hizmetleri yoluyla Windows sistemlerini hedef alan çok aşamalı, karmaşık bir kötü amaçlı yazılım kampanyası tespit etti.
Saldırı, iş temalı belgeleri yanıltıcı giriş noktaları olarak kullanıyor ve kullanıcıları, arka planda PowerShell komutlarını çalıştıran kötü amaçlı kısayollar içeren sıkıştırılmış arşivleri çıkarmaya teşvik ediyor.
Bulaşma zinciri bir kez başlatıldığında, fidye yazılımı, gözetleme araçları ve bankacılık truva atları gibi yıkıcı yükler teslim etmeden önce Microsoft Defender’ı sistematik olarak etkisiz hale getirir.
Tehdit aktörleri yazılımın açıklarından tamamen yararlanmaktan kaçındığından, kampanya, saldırı karmaşıklığında endişe verici bir evrimi temsil ediyor.
Bunun yerine saldırı, meşru işletim sistemi işlevselliğinin, yerel yönetim araçlarının ve GitHub ve Dropbox gibi genel bulut platformlarının normal kurumsal trafik kalıpları içinde gizli kalması için kötüye kullanılmasına dayanıyor.
Bu yaklaşım, sürekli, çok katmanlı uzlaşma yoluyla etkiyi güçlendirirken, imzaya dayalı tespit olasılığını önemli ölçüde azaltır.
Enfeksiyon, standart bir muhasebe belgesi olarak gizlenen aldatıcı bir LNK kısayol dosyasıyla başlıyor. Bu dosya yürütüldüğünde, yürütme politikasını atlayarak PowerShell’i başlatır ve GitHub’dan gizlenmiş bir birinci aşama yükleyici komut dosyasını indirir.
.webp)
Yükleyici kalıcılık sağlar, kullanıcıların dikkatini dağıtmak için sahte belgeler oluşturur ve başarılı bir uzlaşmayı onaylamak için saldırganla Telegram Bot API’si aracılığıyla iletişim başlatır.
Fortinet analistleri, saldırı zinciri boyunca yerleşik olan karmaşık savunmadan kaçınma mekanizmalarını keşfettikten sonra kötü amaçlı yazılımı tespit etti.
Bu kampanyanın kritik bir bileşeni, başlangıçta Windows Güvenlik Merkezi’ndeki güvenlik açıklarını göstermek için tasarlanmış bir araştırma aracı olan Defendnot’un operasyonel olarak kötüye kullanılmasıdır.
Enfeksiyon Vektörü
Tehdit aktörleri, sahte bir antivirüs ürünü kaydettirerek ve Defender’ın otomatik kapanmasını zorlamak için Windows güven varsayımlarından yararlanarak Microsoft Defender’ı sistematik olarak devre dışı bırakmak için bu aracı yeniden tasarladılar.
.webp)
Saldırı dört farklı operasyonel aşamadan geçiyor. Savunma amaçlı etkisizleştirmenin ardından kampanya, kullanıcı etkinliğinin görsel kanıtlarını sızdıran ekran görüntüsü yakalama modüllerini devreye sokarak çevre keşif ve aktif gözetime geçiyor.
Saldırgan daha sonra kurbanların meşru uygulamaları çalıştırmasını veya kendi dosyalarına erişmesini önlemek için sistemi kapsamlı bir şekilde kilitler, yönetim araçlarını devre dışı bırakır, kurtarma mekanizmalarını yok eder ve dosya ilişkilerini ele geçirir.
.webp)
Son olarak kampanya, kalıcı uzaktan erişim ve veri hırsızlığı için Amnesia RAT’ı kullanıyor; tarayıcı kimlik bilgilerini, kripto para cüzdanlarını ve hassas finansal bilgileri hedefliyor.
.webp)
Hakuna Matata fidye yazılımının paralel dağıtımı, NeverMind12F uzantılı kullanıcı dosyalarını şifrelerken WinLocker bileşenleri, kurbanları fidye pazarlığı için saldırganla iletişime geçmeye zorlayan geri sayım sayaçlarını görüntüleyerek sistemin tamamen kilitlenmesini zorunlu kılıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
