Siber güvenlik araştırmacıları, özellikle Xworm ve Remcos sıçanını, özellikle Xworm ve Remcos sıçanını dağıtmak için SVG (ölçeklenebilir vektör grafikleri) dosyalarını ve e -posta eklerini kullanan karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Bu ortaya çıkan tehdit, saldırı metodolojilerinde önemli bir evrimi temsil ediyor, çünkü tehdit aktörleri geleneksel güvenlik savunmalarını atlamak için giderek daha fazla geleneksel olmayan dosya formatlarına yöneliyor.
Kampanya, kötü amaçlı EML dosyaları ve ImageKit gibi güvenilir platformlarda barındırılan URL’ler içeren doğrudan e -posta ekleri dahil olmak üzere birden fazla dağıtım vektörünü kullanır.
Bu fermuarlı arşivler, statik tespit mekanizmalarından kaçınmak için gelişmiş teknikler kullanan ilk enfeksiyon aşaması olarak işlev gören oldukça gizlenmiş yarasa komut dosyaları içerir.
Kötü amaçlı yazılımların fastoneless yürütme yaklaşımı, tamamen bellekte çalışmasını sağlar ve bu da tespiti geleneksel uç nokta koruma çözümleri için çok daha zor hale getirir.
Seqrite araştırmacıları, analizleri sırasında iki farklı kampanya varyantı belirlediler ve saldırganların tekniklerini sürekli olarak geliştirdiği gelişen bir tehdit manzarasını ortaya çıkardılar.
İlk kampanya, yarasa komut dosyalarını doğrudan e -posta ekleri aracılığıyla sunarken, ikincisi yeni bir dağıtım mekanizması olarak JavaScript ile gömülü SVG dosyalarını sunar.
.webp)
Bu SVG dosyaları meşru görüntü dosyaları olarak görünür, ancak savunmasız ortamlarda oluşturulduğunda veya kimlik avı sayfalarına gömüldüğünde kötü amaçlı yük indirmelerini otomatik olarak tetikleyen gömülü komut dosyaları içerir.
Saldırı zinciri, yürütme metodolojisinde dikkate değer bir karmaşıklık göstermektedir. İlk ZIP dosyası çıkarıldıktan sonra, kurbanlar karmaşık kötü amaçlı işlemler yürütürken iyi huylu görünecek şekilde tasarlanmış ağır bir şekilde gizlenmiş bir yarasa komut dosyasıyla karşılaşır.
Bu komut dosyası, PowerShell’i, geleneksel dosya tabanlı algılama sistemlerini etkili bir şekilde atlayarak bellek içi yük enjeksiyonu yapmak için kullanır.
Gelişmiş Kaçma ve Kalıcılık Mekanizmaları
Kötü amaçlı yazılım, temel Windows güvenlik mekanizmalarını hedefleyen sofistike kaçırma teknikleri kullanır. PowerShell bileşeni, Dinamik .NET yansıma ve delege oluşturma yoluyla hem AMSI (antimalware tarama arayüzü) hem de ETW’yi (Windows için olay izleme) programlı olarak devre dışı bırakır.
.webp)
Saldırı, GetProcAddress, GetModuleHandle, Virtual Sprotect ve amsisiscanbuffer işlevini bellekte bulmak ve yamalamak için amsiinitialize olan yerel işlevleri çözer.
Kalıcılık mekanizması, Windows başlangıç klasöründe BAT dosyaları oluşturmayı, sistem yeniden başlatma veya kullanıcı girişinde otomatik yürütme sağlamayı içerir.
PowerShell komut dosyası, toplu dosya yorumları içinde gizlenmiş baz64 kodlu yükleri arar, özellikle üçlü kolon işaretleyicileri ile ön eklenmiş satırları hedefler.
Bu yükler, nihai yürütmeden önce sabit kodlu anahtarlar ve GZIP dekompresyonu kullanılarak AES şifre çözme dahil olmak üzere birden fazla şifre çözme katmanına tabi tutulur.
Yükleyici bileşeni kritik bir aracı olarak işlev görür, yerleşik .NET düzeneklerini doğrudan belleğe montaj kullanarak belleğe çıkarır ve yürütür.
Bu yaklaşım, disk tabanlı dosya oluşturma ihtiyacını ortadan kaldırarak, Xworm ve Remcos sıçan yüklerini dağıtmak için tam operasyonel yeteneği korurken algılama olasılığını önemli ölçüde azaltır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.