Yakın zamanda ortaya çıkarılan bir kötü amaçlı yazılım kampanyası, Remcos, Limerat, DCRAT ve Asyncrat gibi uzaktan erişim truva atlarını (sıçanlar) dağıtmak için yoğun bir şekilde gizlenmiş görsel temel komut dosyası (VBS) dosyalarını kullanan son derece sofistike, çok aşamalı bir enfeksiyon sürecini ortaya çıkardı.
Çeşitli ana bilgisayarlarda 16 açık dizinden oluşan bir kümede keşfedilen bu kampanya, ilk yükünün temel bir bileşeni olarak “Sostener.vbs” (“SUSURD için İspanyolca”) adlı bir dosyaya dayanmaktadır.
Karmaşık bir kötü amaçlı yazılım dağıtım sisteminin keşfi
Üç aşamalı bir şaşkınlık, dinamik komut dosyası oluşturma ve uzaktan yük indirmeleri içeren bu kötü amaçlı yazılım dağıtım sisteminin karmaşık tasarımı, modern siber tehditlerin gelişen taktiklerini vurgulamaktadır.
.png
)
Araştırmacılar, benzer tekniklerle bilinen Kolombiyalı bir tehdit aktörü olan APT-C-36 (Blind Eagle) ile potansiyel bağları kaydetti, ancak kesin atıf doğrulanmadı.
Kötü amaçlı yazılım, titizlikle hazırlanmış üç aşamalı bir işlemle çalışır. İlk aşamada, genellikle “sostener.vbs” gibi dosyalarda bulunan gizlenmiş VBScript, baz 64 kodlu bir yükü çözer ve bellekte bir PowerShell komut dosyası oluşturur.
İkinci aşamayı oluşturan bu komut dosyası, ek kötü amaçlı bileşenler indirmek için uzaktan hizmetlere ulaşan bir Stager görevi görür.
Bu bileşenler genellikle internet arşivindeki JPEG görüntüleri veya macun gibi barındırma hizmetlerinde metin dosyaları gibi alışılmadık yerlerde gizlenir.[.]EE ve Gofile[.]IO.
Üç aşamalı saldırının teknik dökümü
İndirilen öğeler bir bellek enjektörü ve son sıçan yükü içerir. Üçüncü aşamada, enjektör sıçanları öncelikle remcos yükler, aynı zamanda Limerat ve DCRAT gibi varyantları yürütme için belleğe yükler ve saldırganlara uzlaşmış sistemlere sürekli uzaktan erişim sağlar.
Bu sıçanlar için komuta ve kontrol (C2) altyapısı ağırlıklı olarak “Duckdns[.]Dinamik DNS için Org ”, IP rotasyonunun kaçınmasını sağlayan,“ Rem25Rem[.]Duckdns[.]Org ”ve“ Sosten38999[.]Duckdns[.]Org ”dönen IP’lerde aktif dinleyicilere bağlandı.
Kampanyanın karmaşıklığı, örtüşen C2 sunucuları ve TLS sertifikası parmak izlerinin birden fazla sıçan varyantını aynı tehdit aktörlerine bağlamasıyla paylaşılan altyapı kullanımında daha da belirgindir.
Örneğin, 186 gibi IP adresleri[.]169.80.199 ve 193[.]23.3.29, Remcos dinleyicilerini barındırırken gözlemlenirken, 213 gibi diğerleri[.]209.150.22, DCRAT işlemlerini destekleyin.
Ayrıca, Bitbucket Deposu taahhüt günlüğünde kişisel bir e -postanın (“Shadowgamer5628@gmail.com”) kazara maruz kalması, kampanyanın arkasındaki potansiyel kimliğe nadir bir bakış sunar, ancak bu doğrulanmamıştır.
Muhtemelen daha geniş bir spearfishing çabasının son aşaması olan bu kötü amaçlı yazılım dağıtım sistemi, bu tür tehditleri erken tespit etmek için açık dizinleri ve gizlenmiş komut dosyalarını izlemenin öneminin altını çizmektedir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| DNS | Remc21[.]Duckdns[.]Org, Sosten38999[.]Duckdns[.]org |
| DNS | Rem25rem[.]Duckdns[.]Org, iş[.]Duckdns[.]org |
| DNS | Gothenburgoxm[.]Duckdns[.]Org, Dcupdate[.]Duckdns[.]org |
| DNS | dgflex[.]Duckdns[.]Org, Purelogs2025[.]Duckdns[.]org |
| DNS | Romanov[.]Duckdns[.]org |
| TLS parmak izi | 95f61fba6418c812c4c62d0c7ee4c8e5c369fc76e044cab6de3b6ddf787db2ed |
| Sıçan | D8119df3e735dba78bc6c528f2737d8ab2e87f442596c810afcb5fa85261ad5 |
| Ev sahibi | 186[.]169.80.199: 1515, 213[.]209.150.22: 55140 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin