Follina da dahil olmak üzere bilinen iki güvenlik açığından yararlanan kötü amaçlı yazılım kampanyası, FortiGuard Labs’taki siber güvenlik araştırmacıları tarafından keşfedildi.
FortiGuard Labs kısa süre önce araştırmalarında, iyi bilinen güvenlik açıklarından yararlanmak için tasarlanmış bir dizi kötü amaçlı Microsoft Office belgesini ortaya çıkaran endişe verici bir keşif ortaya çıkardı.
Bu belgeler, uzaktan kod yürütme güvenlik açıklarından yararlanır, yani CVE-2021-40444 Ve CVE-2022-30190 (Follina), LokiBot (aka Loki PWS) kötü amaçlı yazılımını kurbanların sistemlerine enjekte etmek için.
LokiBot2015’ten beri aktif olan kötü şöhretli bir Truva Atı, Windows makinelerinden hassas bilgileri çalma konusunda uzmandır ve kullanıcı verileri için önemli bir tehdit oluşturur.
Her şey, FortiGuard Labs’ın iki farklı türde Word belgesi alıp analiz etmesiyle başladı ve her ikisi de hiçbir şeyden habersiz kurbanlar için ciddi tehditler oluşturuyor. İlk tür, “word/_rels/document.xml.rels” adlı bir XML dosyasına gömülü harici bir bağlantı içeriyordu.
Bu arada, ikinci tip, bir VBA betiği çalıştırdı. zararlı makro belgeyi açtıktan sonra. İlginç bir şekilde, her iki dosya da, Şekil 1’de gösterilen, saldırılar arasında potansiyel bir bağlantı olduğunu gösteren, görsel olarak benzer bir yem görüntüsü içeriyordu.
CVE-2021-40444’ten yararlanan Word belgesi, MHTML’yi (Toplu HTML belgelerinin MIME Kapsüllemesi) kullanan harici bir bağlantı barındıran “document.xml.rels” adlı bir dosya içeriyordu. Bu bağlantı, kullanıcıları “GoFile” adlı bir bulut dosya paylaşım web sitesine yönlendirmek için bir URL kısaltıcı ve bağlantı yönetimi platformu olan Cuttly’yi kullandı.
Daha ayrıntılı analizler, bağlantıya erişmenin ikinci güvenlik açığı olan CVE-2022-30190’dan yararlanarak “defrt.html” adlı bir dosyanın indirilmesini başlattığını ortaya çıkardı. Yük yürütüldüğünde, “http//pcwizardnet/yz/ftp/” URL’sinden “oehrjd.exe” etiketli bir enjektör dosyasının indirilmesini tetikler.
Mayıs 2023’ün sonlarına doğru keşfedilen ikinci belgede, Word dosyasına gömülü bir VBA komut dosyası bulunuyordu. “Auto_Open” ve “Document_Open” işlevlerini kullanan komut dosyası, belge açıldığında otomatik olarak yürütülür. Çeşitli dizilerin kodunu çözerek bunları “DD.inf” adı altında geçici bir klasör olarak kaydetti.
Komut dosyası, verileri depolamak için bir “ema.tmp” dosyası oluşturdu, “ecodehex” işlevini kullanarak bunu kodladı ve “des.jpg” olarak kaydetti. Daha sonra komut dosyası, “maintst” işlevini içeren bir DLL dosyasını yüklemek için rundll32’yi kullandı. Bu süreçte oluşturulan tüm geçici, JPG ve INF dosyaları sistematik olarak silinmiştir.
VBA betiğinin INF dosyası oluşturmasıyla ilgili olarak amaç, daha sonraki aşamalarda kullanılmak üzere “https//vertebromedmd/temp/dhssdfexe” URL’sinden bir enjektör indirmekten sorumlu “des.jpg” adlı bir DLL dosyasını yüklemekti.
İndirme bağlantısının, tipik dosya paylaşım bulut platformundan veya saldırganın komuta ve kontrol (C2) sunucusundan farklı olduğunu belirtmekte fayda var. Bunun yerine, 2018’den beri aktif bir etki alanı olan “vertebromed.md” web sitesinden yararlanır.
Ek olarak, aynı klasör içinde FortiGuard Labs, 30 Mayıs 2023’te oluşturulan “IMG_3360_103pdf.exe” adlı başka bir MSIL yükleyiciyi ortaya çıkardı. Word belgesi saldırı zincirine doğrudan dahil olmasa da, bu dosya LokiBot’u da yükler ve aynı C2 IP’sine bağlanır. .
LokiBot kötü amaçlı yazılımının dönüşüyle ilgili ayrıntılı teknik ayrıntılar için Fortinet’in blog gönderisini ziyaret edin Burada.
Kalıcı ve yaygın bir kötü amaçlı yazılım olan LokiBot, sistemlere daha verimli bir şekilde yayılmak ve bulaşmak için ilk erişim yöntemlerini uyarlayarak yıllar içinde gelişmeye devam etti. Bir dizi güvenlik açığından yararlanan ve VBA makrolarından yararlanan LokiBot, siber güvenlik için önemli bir endişe kaynağı olmaya devam ediyor. Bir VB enjektörünün kullanılması, tespit ve analizi atlatan ve bunun kullanıcılara yönelik tehdidini yoğunlaştıran kaçınma tekniklerini daha da etkinleştirir.
Kendilerini bu tür tehditlere karşı korumak için, kullanıcılardan Office belgeleri veya bilinmeyen dosyalarla, özellikle de harici web sitelerine bağlantılar içerenlerle çalışırken dikkatli olmaları istenmektedir. Tetikte olmak çok önemlidir ve şüpheli bağlantılara tıklamaktan veya güvenilmeyen kaynaklardan gelen ekleri açmaktan kaçınmak çok önemlidir. Yazılımları ve işletim sistemlerini en son güvenlik yamalarıyla güncel tutmak, kötü amaçlı yazılım istismarına kurban gitme riskini azaltmaya da yardımcı olabilir.
Siber suçlular taktiklerini iyileştirmeye devam ederken, bireylerin ve kuruluşların hassas verileri karmaşık saldırıların amansız saldırılarından korumaları için bilgi sahibi olmaları ve güçlü güvenlik önlemleri almaları çok önemlidir.
İLGİLİ MAKALELER
- ISO görüntü dosyalarında dağıtılan LokiBot ve NanoCore kötü amaçlı yazılımı
- Drake’in kiki’si beni seviyor musun Lokibot kötü amaçlı yazılımını bırakmak için istismar edildi
- TrickGate: 6 Yıl Boyunca Antivirüs’ü Aşan Kötü Amaçlı Yazılım
- Yeni LokiBot kötü amaçlı yazılım varyantı, Epic Games yükleyicisi olarak düştü