Rus kullanıcılarını hedef alan, sosyal mühendislikten, meşru bulut hizmetlerinden ve yerel Windows işlevlerinden yararlanarak güvenlik açıklarından yararlanmadan tam sistem güvenliğini aşmayı amaçlayan çok aşamalı, gelişmiş bir kötü amaçlı yazılım kampanyası.
Kampanya, sıkıştırılmış arşivler aracılığıyla teslim edilen aldatıcı bir şekilde hazırlanmış iş temalı belgelerle başlıyor.
Mağdurlar, rutin muhasebe görevleri gibi görünen Rusça dosyalar alıyor ancak arşiv, enfeksiyon vektörü görevi gören kötü amaçlı bir LNK kısayolu içeriyor.
Bu ilk veri yürütüldüğünde, güvenlik kontrollerini sistematik olarak kapatmak, kalıcı gözetim oluşturmak ve uzaktan erişim truva atlarının yanı sıra fidye yazılımlarını dağıtmak için tasarlanmış, dikkatle düzenlenmiş bir saldırı zincirini başlatır.
Tehdit aktörleri modüler bir barındırma mimarisi kullanıyor; PowerShell yükleyicilerini ve komut dosyalarını GitHub aracılığıyla dağıtırken, ikili verileri Dropbox’ta barındırıyor.
Bu ayırma, saldırganların bileşenleri bağımsız olarak güncelleyebilmesini veya döndürebilmesini sağlar, kaldırma çabalarını karmaşıklaştırır ve kötü amaçlı trafiğin yasal kurumsal ağ etkinliğine sorunsuz bir şekilde karışmasına olanak tanır.
FortiGuard Labs yakın zamanda öncelikle Rusya’daki kullanıcıları hedef alan çok aşamalı bir kötü amaçlı yazılım kampanyası tespit etti. Saldırı, iş temalı belgeler aracılığıyla sunulan sosyal mühendislik tuzaklarıyla başlıyor.
İlk Enfeksiyon ve Sosyal Mühendislik
Standart bir metin belgesi olarak görünecek LNK kısayolu (“Assignment_for_accountant_02department.txt.lnk”), PowerShell’i yürütme politikasını atlayarak başlatır ve GitHub’dan hemen birinci aşama yükleyiciyi indirir.
Komut dosyasında sıfır gün açıklarından yararlanma veya ayrıcalık yükseltmeleri kullanılmaz; başarı tamamen kullanıcı etkileşimine dayanır; bu teknik, belge paylaşımının rutin olduğu kurumsal ortamlarda oldukça etkili olmaya devam etmektedir.
Yürütmenin ardından PowerShell yükleyicisi konsol pencerelerini gizler, kullanıcının dikkatini çekmek için sahte bir Rusça muhasebe belgesi oluşturur ve saldırgana Telegram Bot API aracılığıyla yürütme onayı gönderir.
444 saniyelik bir gecikmenin ardından, gizlenmiş bir VBScript verisini alır ve onu Windows Komut Dosyası Ana Bilgisayarı aracılığıyla gizli bir pencerede çalıştırarak hiçbir görünür yürütme eserinin kalmamasını sağlar.
VBScript orkestratörü (SCRRC4ryuk.vbe), kötü amaçlı yazılımın Windows güvenliğini sistematik olarak ortadan kaldırdığı kritik aşamayı temsil ediyor.
Katmanlı Base64 ve RC4 şifre çözme özelliğine sahip Script Encoder Plus kullanılarak kodlanan veri, çekirdek mantığını tamamen bellekte yeniden yapılandırarak disk tabanlı algılamayı önler.
Betik, yüksek etkili yükleri dağıtmadan önce birden fazla tamamlayıcı teknik aracılığıyla Microsoft Defender’ı devre dışı bırakır.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender altındaki kayıt defteri politikalarını değiştirerek gerçek zamanlı izlemeyi, davranış analizini ve arşiv taramayı devre dışı bırakır.
ProgramData, Program Dosyaları ve İndirilenler dahil olmak üzere ortak hazırlama dizinleri için dosya sistemi hariç tutmaları eklenerek sonraki yüklerin Defender’ın tarama kapsamı dışında kalması sağlanır.
Kritik olarak, kötü amaçlı yazılım, Defender’ı zorla sonlandırmak yerine Windows Güvenlik Merkezi’nin güven varsayımlarından yararlanan bir araştırma aracı olan Defendnot’u dağıtıyor.
SCRRC4ryuk.vbe, Script Encoder Plus kullanılarak oluşturulan tamamen kodlanmış bir biçimde diske yazılır. Saklı durumunda dosyanın okunabilir VBScript’e hiçbir benzerliği yoktur.
Araç, güvenilir Taskmgr.exe sürecine bir DLL enjekte eder ve sahte bir antivirüs ürününü kaydederek, yasal Windows güvenlik mimarisinin zarif bir şekilde kötüye kullanılmasını önlemek için Defender’ın otomatik olarak devre dışı bırakılmasını tetikler.
Gözetim ve Sistem Kilitleme
Savunma amaçlı etkisizleştirmenin ardından saldırı, geniş keşif yeteneklerine sahip bir veri hırsızlığı truva atı olan Amnesia RAT’ı devreye alıyor.
RAT, Windows DPAPI şifre çözme yoluyla Chromium tabanlı tarayıcıları hedef alarak şifreleri, çerezleri ve oturum belirteçlerini çalıyor.
Tdata dizinini dışarı sızdırarak Telegram Masaüstü oturumlarını açıkça ele geçiriyor ve kimlik bilgileri olmadan tam hesabın ele geçirilmesini sağlıyor. Kötü amaçlı yazılım aynı zamanda kripto para birimi tohum ifadelerini engellemek için pano içeriğini de izliyor ve MetaMask, Electrum ve Exodus dahil olmak üzere masaüstü cüzdanları hedef alıyor.
Eş zamanlı olarak komut dosyası, kayıt defteri ilkeleri aracılığıyla yönetim araçlarını devre dışı bırakarak kapsamlı sistem kilitlemesi uygular.
Görev Yöneticisi, Kayıt Defteri Düzenleyicisi, Çalıştır iletişim kutusu ve Sistem Ayarlarının tümü devre dışıdır. Windows Kurtarma Ortamı, reagentc /disable kullanılarak etkisiz hale getirilir, yedekleme katalogları silinir ve tüm Birim Gölge Kopyası anlık görüntüleri kaldırılarak kurtarma seçenekleri tamamen ortadan kaldırılır.
Hakuna Matata fidye yazılımı aşaması yüzlerce dosya uzantısını şifreler ve etkilenen dosyaları @NeverMind12F uzantısıyla yeniden adlandırır.
Fidye yazılımı, şifreleme kapsamını en üst düzeye çıkarmak için yeniden taramadan önce veritabanı, ofis, e-posta ve sanallaştırma işlemlerini sonlandırır.
Eş zamanlı olarak bir WinLocker bileşeni, Telegram’ın iki saat içinde iletişime geçmesini talep eden Rusça mesajlarla tam masaüstü kilitlemeyi zorunlu kılıyor.
Kritik bir şekilde, fidye yazılımı pano ele geçirme (ClipBanker) uygulayarak kripto para birimi cüzdan adreslerini saldırganın kontrol ettiği değerlerle değiştirerek kurbanların şifrelenmiş yedekleri olsa bile finansal çıkarımın geçerli kalmasını sağlıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.