Yeni kötü amaçlı yazılım saldırısı, Windows sistemlerinde Remcos Backdoor’u dağıtmak için LNK dosyalarını kullanır


Soruşturma, iki tarama IP adresinin tespiti ile başladı, 91.238.181[.]225 ve 5.188.86[.]169 Ortak Güvenli Kabuk (SSH) parmak izi (B5: 4C: CE: 68: 9E: 91: 39: E8: 24: B6: E5: 1A: 84: A7: A1: 03).

Siber güvenlik araştırmacıları, tam sistem uzlaşmasına sahip güçlü bir uzaktan erişim Truva atı olan Remcos Backdoor’u dağıtmak için kötü niyetli Windows LNK kısayol dosyalarını kullanan sofistike bir çok aşamalı kötü amaçlı yazılım kampanyası ortaya çıkardılar.

Bu parmak izi, Shodan ve FOFA gibi keşif araçları aracılığıyla 138 sunucu geniş bir ağın tanımlanmasına yol açarak, kampanyanın komuta ve kontrol (C2) operasyonlarına bağlı daha geniş bir altyapı vurguladı.

Ağ Probları aracılığıyla keşif

Genellikle kimlik avı e -postaları veya kötü niyetli indirmeler yoluyla başlatılan saldırı zinciri, LNK dosyasını faturalar veya kelime dosyaları gibi zararsız belgeler olarak gizler, Windows’un kullanıcıları aldatmak için dosya uzantılarını gizleme varsayılan davranışını kullanır.

Yürütme üzerine, kısayol, baz64 kodlu bir yükü indiren ve çözen gizli bir PowerShell komutunu tetikler ve sonuçta kalıcı erişim, tuş vuruşu günlüğü ve veri söndürme için Remcos arka kapısını yükler.

Bu kampanyada, SHA-256 Hash 506ECB76CF8E39743EC06129D81873F0E4C1EBFE7A352FC5874D0FC60CC1D7C6, Invoke Withed-Secese Witheded ile SHA-DI-DI-ACQUIST-7263535 ”olarak adlandırıldı. argüman.

Remcos Backdoor
LNK Dosyası Normal Bir Kullanıcıya Nasıl Bakıyor?

Bu bağımsız değişken, Etki Alanı gönderimi-hr.ro/m/r/r.txt’den Base64 kodlu bir dosyayı almak için System.net.WebClient kullanır ve Gizli C: \ ProgramData Dizini’nde Hew.Gif olarak kaydeder.

Komut dosyası daha sonra bu içeriği, kromla ilgili bir programı taklit eden ancak bir MS-DOS yürütülebilir dosyası olarak işlev gören bir PIF dosyası olan Chrome.pif olarak gizlenmiş bir ikili yürütülebilir dosyaya dönüştürür.

Lansman üzerine, Chrome.pif (SHA-256: 5EC8268A5995A1FAC3530ACAFE4A10EAB7D693085CC2), kısayollar ve bir Batch dosyası ile kalıcılık için ek artefaktlar bırakır. [.].cmd, tek-kurgu yürütmeyi sağlamak için bir muteks oluştururken.

Yük davranışı

Statik analiz, yükü, bir keylogger uygulamak, girişleri yakalamak ve %programda %\ remcos \ logs.dat ile setWindowShookexa aracılığıyla kullanıcı32.dll’ye takan PE görüntü tabanlı bir MS-DOS programı olarak ortaya çıkar.

Ağ İletişimi 92.82.184 gibi IP’lere C2 bağlantıları kurun[.]33 (Romanya, TLSV1.2 aracılığıyla nakliye-HR.R.RO ile ilişkili) ve 198.23.251.10 (Mal289re1.es ile bağlantılı), Remcos’un temel yeteneklerini etkinleştirme, dosya transferleri, webcam/mikrofon çekimleri ve uzaktan kumanda TCP üzerinde özel bir çirkin protokol ile uzaktan kumanda.

Rapora göre, bu filessiz yaklaşım, bellekte yükleri çalıştırarak, PowerShell ve MSHTA.EXE gibi güvenilir araçları kötüye kullanarak ve simge yolları veya alternatif veri akışları gibi LNK özelliklerinde kötü niyetli komutları gizleyerek geleneksel algılamadan kaçınır.

Remcos Backdoor
LNK Dosya Hedef Yolu

Kampanyanın gizliliği, sosyal mühendislik taktiklerinden kaynaklanıyor, ofis tabanlı saldırılarda yaygın olan makro uyarılarını atlıyor ve kullanıcı güvenini tanıdık dosya türlerinde kullanıyor.

Kaldırma için uzmanlar, bir Trojan.winlnk.powershell_s03 olarak algılayan ultraav gibi araçlarla ağ oluşturma ve tarama ile güvenli modda önyükleme yapmayı önerir ve ardından görev zamanlamacının manuel kontrolleri, kayıt defteri çalışma tuşları ve Chrome.pif gibi şüpheli dosyaları silmek için startup klasörleri takip eder.

Önleme, gerçek zamanlı antivirüs korumasını, güvenilmeyen eklerden kaçınmayı ve görev yöneticisi aracılığıyla sistem performansını izlemeyi vurgular.

Kötü niyetli LNK dosyaları geliştikçe, bu saldırı, derhal ele alınmazsa yaygın uzlaşma potansiyeli olan e -postalardan veya ağ paylaşımlarından gelen zararsız kısayollara karşı uyanıklık ihtiyacının altını çiziyor.

Uzlaşma Göstergeleri (IOCS)

Tip Gösterge Tanım
Dosya adı 7263535-7263535 Kötü niyetli LNK dosyası
Sha-256 506ecb76cf8e39743ec06129d81873f0e4c1ebe7a32fc5874d0fc60c6d7c6 Lnk dosyası karma
Dosya adı Chrome.pif Yük dosyası
Sha-256 5C8268A5995A1FAC3530ACAFE4A10EAB73C08B03CAB5D76154A7D6930855C2 Yük karma
Dosya adı Hew.gif Kodlanmış dosya indirildi
Sha-256 8BC668FD08AECD53747DE6EA83CCC439BDF21B6D9EDF2ACAAAF7DF1A45837A4E1 Kodlanmış dosya karma
Url https://shipping-hr.ro/m/r/r.txt İndir Kaynak
IP adresi 92.82.184[.]33 C2 Sunucusu (Romanya)
IP adresi 198.23.251[.]10 C2 Sunucusu (ABD)
İhtisas nakliye-hr.ro 92.82.184.33’e çözüldü
İhtisas Mal289re1.es 198.23.251.10’a çözüldü
Dosya Yolu %Program verileri%\ remcos \ logs.dat Keylogger günlük dosyası
IP adresi 91.238.181[.]225 Tarama probu ip
IP adresi 5.188.86[.]169 Tarama probu ip
Ssh parmak izi B5: 4C: CE: 68: 9E: 91: 39: E8: 24: B6: E5: 1A: 84: A7: A1: 03 Ortak prob parmak izi

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!



Source link