Yeni ShadowRoot Fidye Yazılımı Silahlandırılmış PDF’ler Aracılığıyla İşletmelere Saldırıyor


X-Labs, internetten gelen şüpheli e-postalardaki PDF ekleri aracılığıyla iletilen, Türk işletmelerini hedef alan temel fidye yazılımını tespit etti[.]ru alan adı.

PDF bağlantıları, dosyaları “.shadowroot” uzantısıyla şifreleyen exe yükü indirmelerini tetikliyor ve bu durum sağlık ve e-ticaret sektörleri de dahil olmak üzere çeşitli küresel kuruluşları aktif olarak tehlikeye atıyor.

PDF eki

Tehlikeye atılmış bir GitHub hesabına bağlantı veren kötü amaçlı bir URL içeren PDF eki, ilk erişim vektörü olarak tanımlandı ve bu vekil, olası kötü amaçlı yazılım teslimatını ve ardından sistemin tehlikeye atılmasını ima eden “PDF.FaturaDetay_202407.exe” adlı yürütülebilir bir yükü indiriyor.

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files

pdf’den kötü amaçlı URL

Analiz edilen 32-bit Borland Delphi 4.0 çalıştırılabilir dosyası, RootDesign.exe, Uninstall.exe ve Uninstall.ini adlı ikincil yükleri “C:\TheDream” dizinine dağıtır.

RootDesign.exe, tespit edilmekten kaçınmak için DotNet Confuser Core 1.6 karartmasıyla korunan rastgele sınıf adları, özel karakterler ve karartılmış işlev adları kullanır.

Birincil yürütülebilir dosya, RootDesign.exe dosyasını gizlice yürütmek için PowerShell’i kullanır; bu da olası kötü amaçlı etkinliği gösterir.

Karmaşıklaştırılmış fonksiyon ve sınıf adı

Komut, “C:\TheDream\RootDesign.exe” konumundan gizli bir PowerShell betiğini yürütür, birden fazla alt işlem oluşturur ve “Local\ZonesCacheCounterMutex”, “Local\ZonesLockedCacheCounterMutex” ve “_SHuassist.mtx” karşılıklı dışlama birimleri oluşturur.

Bu işlemler, kendilerini yinelemeli olarak çoğaltmak için belleği kullanır ve giderek artan miktarda sistem kaynağı tüketir.

Aynı zamanda çeşitli PE olmayan ve ofis dosyalarını şifreliyorlar, uzantılarını “.ShadowRoot” ile değiştiriyorlar ve eylemlerini “C:\TheDream\log.txt” adresine “ApproveExit.dot.” işaretleyicisiyle kaydediyorlar.

ShadowRoot uzantısıyla şifrelenmiş dosyalar

ForcePoint’e göre, fidye yazılımı dosya şifrelemesi için .NET AES şifreleme kütüphanesini kullanıyor ve RootDesign.exe kullanarak tekrarlayan kendi kendini yayma yoluyla dosyaları tekrar tekrar şifreliyor, bu da aşırı kaynak tüketimine ve birden fazla şifrelenmiş dosya kopyasına yol açıyor.

Türkçe fidye notları görüntüler, e-posta tabanlı bir iletişim mekanizması aracılığıyla kripto para birimi ödemesi talep eder ve sistem bilgilerini SMTP üzerinden smtp üzerinden bir komuta ve kontrol sunucusuna sızdırır[.]posta[.]ru, 587 numaralı port, tehlikeye atılmış bir e-posta hesabı kullanılıyor.

C2 bağlantısı

Acemi bir saldırgan, ilkel bir fidye yazılımı kampanyasıyla Türk işletmelerini hedef alıyor. Bu kampanyada, bağlantı içeren kötü amaçlı PDF faturaları, bir Delphi yükünün indirilmesini ve dotnet karıştırıcıyla gizlenmiş bir ikili dosyanın yürütülmesini sağlıyor.

Fidye yazılımı, dosyaları “.ShadowRoot” uzantısıyla şifreliyor ve bir Rus SMTP sunucusuyla iletişim kuruyor; bu da sınırlı yeteneklere ve potansiyel deneyimsizliğe işaret ediyor.

Tehdit aktörleri, Kurumsal e-posta adreslerini kullanarak e-posta yoluyla kötü amaçlı yazılım dağıtıyor[.]tasilat[@]internet[.]ru, ran_master_som[@]proton[.]ben ve lasmuruk[@]posta çiti[.]com.

CD8FBF0DCDD429C06C80B124CAF574334504E99A ve 1C9629AEB0E6DBE48F9965D87C64A7B8750BBF93 karma değerlerine sahip kötü amaçlı yazılım yükü hxxps://raw adresinde barındırılıyor[.]githubuseriçerik[.]com/kurumsaltahsilat/detayfatura/main/PDF.FaturaDetay_202407.exe.

“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo



Source link