Soruşturma, iki tarama IP adresinin tespiti ile başladı, 91.238.181[.]225 ve 5.188.86[.]169 Ortak Güvenli Kabuk (SSH) parmak izi (B5: 4C: CE: 68: 9E: 91: 39: E8: 24: B6: E5: 1A: 84: A7: A1: 03).
Siber güvenlik araştırmacıları, tam sistem uzlaşmasına sahip güçlü bir uzaktan erişim Truva atı olan Remcos Backdoor’u dağıtmak için kötü niyetli Windows LNK kısayol dosyalarını kullanan sofistike bir çok aşamalı kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Bu parmak izi, Shodan ve FOFA gibi keşif araçları aracılığıyla 138 sunucu geniş bir ağın tanımlanmasına yol açarak, kampanyanın komuta ve kontrol (C2) operasyonlarına bağlı daha geniş bir altyapı vurguladı.
Ağ Probları aracılığıyla keşif
Genellikle kimlik avı e -postaları veya kötü niyetli indirmeler yoluyla başlatılan saldırı zinciri, LNK dosyasını faturalar veya kelime dosyaları gibi zararsız belgeler olarak gizler, Windows’un kullanıcıları aldatmak için dosya uzantılarını gizleme varsayılan davranışını kullanır.
Yürütme üzerine, kısayol, baz64 kodlu bir yükü indiren ve çözen gizli bir PowerShell komutunu tetikler ve sonuçta kalıcı erişim, tuş vuruşu günlüğü ve veri söndürme için Remcos arka kapısını yükler.
Bu kampanyada, SHA-256 Hash 506ECB76CF8E39743EC06129D81873F0E4C1EBFE7A352FC5874D0FC60CC1D7C6, Invoke Withed-Secese Witheded ile SHA-DI-DI-ACQUIST-7263535 ”olarak adlandırıldı. argüman.
Bu bağımsız değişken, Etki Alanı gönderimi-hr.ro/m/r/r.txt’den Base64 kodlu bir dosyayı almak için System.net.WebClient kullanır ve Gizli C: \ ProgramData Dizini’nde Hew.Gif olarak kaydeder.
Komut dosyası daha sonra bu içeriği, kromla ilgili bir programı taklit eden ancak bir MS-DOS yürütülebilir dosyası olarak işlev gören bir PIF dosyası olan Chrome.pif olarak gizlenmiş bir ikili yürütülebilir dosyaya dönüştürür.
Lansman üzerine, Chrome.pif (SHA-256: 5EC8268A5995A1FAC3530ACAFE4A10EAB7D693085CC2), kısayollar ve bir Batch dosyası ile kalıcılık için ek artefaktlar bırakır. [.].cmd, tek-kurgu yürütmeyi sağlamak için bir muteks oluştururken.
Yük davranışı
Statik analiz, yükü, bir keylogger uygulamak, girişleri yakalamak ve %programda %\ remcos \ logs.dat ile setWindowShookexa aracılığıyla kullanıcı32.dll’ye takan PE görüntü tabanlı bir MS-DOS programı olarak ortaya çıkar.
Ağ İletişimi 92.82.184 gibi IP’lere C2 bağlantıları kurun[.]33 (Romanya, TLSV1.2 aracılığıyla nakliye-HR.R.RO ile ilişkili) ve 198.23.251.10 (Mal289re1.es ile bağlantılı), Remcos’un temel yeteneklerini etkinleştirme, dosya transferleri, webcam/mikrofon çekimleri ve uzaktan kumanda TCP üzerinde özel bir çirkin protokol ile uzaktan kumanda.
Rapora göre, bu filessiz yaklaşım, bellekte yükleri çalıştırarak, PowerShell ve MSHTA.EXE gibi güvenilir araçları kötüye kullanarak ve simge yolları veya alternatif veri akışları gibi LNK özelliklerinde kötü niyetli komutları gizleyerek geleneksel algılamadan kaçınır.
Kampanyanın gizliliği, sosyal mühendislik taktiklerinden kaynaklanıyor, ofis tabanlı saldırılarda yaygın olan makro uyarılarını atlıyor ve kullanıcı güvenini tanıdık dosya türlerinde kullanıyor.
Kaldırma için uzmanlar, bir Trojan.winlnk.powershell_s03 olarak algılayan ultraav gibi araçlarla ağ oluşturma ve tarama ile güvenli modda önyükleme yapmayı önerir ve ardından görev zamanlamacının manuel kontrolleri, kayıt defteri çalışma tuşları ve Chrome.pif gibi şüpheli dosyaları silmek için startup klasörleri takip eder.
Önleme, gerçek zamanlı antivirüs korumasını, güvenilmeyen eklerden kaçınmayı ve görev yöneticisi aracılığıyla sistem performansını izlemeyi vurgular.
Kötü niyetli LNK dosyaları geliştikçe, bu saldırı, derhal ele alınmazsa yaygın uzlaşma potansiyeli olan e -postalardan veya ağ paylaşımlarından gelen zararsız kısayollara karşı uyanıklık ihtiyacının altını çiziyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Tanım |
|---|---|---|
| Dosya adı | 7263535-7263535 | Kötü niyetli LNK dosyası |
| Sha-256 | 506ecb76cf8e39743ec06129d81873f0e4c1ebe7a32fc5874d0fc60c6d7c6 | Lnk dosyası karma |
| Dosya adı | Chrome.pif | Yük dosyası |
| Sha-256 | 5C8268A5995A1FAC3530ACAFE4A10EAB73C08B03CAB5D76154A7D6930855C2 | Yük karma |
| Dosya adı | Hew.gif | Kodlanmış dosya indirildi |
| Sha-256 | 8BC668FD08AECD53747DE6EA83CCC439BDF21B6D9EDF2ACAAAF7DF1A45837A4E1 | Kodlanmış dosya karma |
| Url | https://shipping-hr.ro/m/r/r.txt | İndir Kaynak |
| IP adresi | 92.82.184[.]33 | C2 Sunucusu (Romanya) |
| IP adresi | 198.23.251[.]10 | C2 Sunucusu (ABD) |
| İhtisas | nakliye-hr.ro | 92.82.184.33’e çözüldü |
| İhtisas | Mal289re1.es | 198.23.251.10’a çözüldü |
| Dosya Yolu | %Program verileri%\ remcos \ logs.dat | Keylogger günlük dosyası |
| IP adresi | 91.238.181[.]225 | Tarama probu ip |
| IP adresi | 5.188.86[.]169 | Tarama probu ip |
| Ssh parmak izi | B5: 4C: CE: 68: 9E: 91: 39: E8: 24: B6: E5: 1A: 84: A7: A1: 03 | Ortak prob parmak izi |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!