Yakın tarihli bir siber güvenlik tehdidi, Remcos ve Asyncrat gibi şifre samançıları da dahil olmak üzere birden fazla kötü amaçlı yazılım türünü dağıtmak için zararsız JPG dosyalarını kullanan bir steganografik kampanya şeklinde ortaya çıktı.
Bu sofistike saldırı, enfeksiyon zincirini başlatmak için bilinen bir güvenlik açığı olan CVE-2017-0199’dan yararlanan kötü niyetli bir excel belgesi içeren bir kimlik avı e-postasıyla başlar.
Enfeksiyon zinciri ve kötü amaçlı yazılım dağıtım
Excel belgesi, açıldıktan sonra, VBScript kodu içeren bir .hta dosyası indirmek için bir HTTP isteği yayınlar.
Bu komut dosyası, başka bir gizlenmiş VBScript’i indirmek için bir macun URL’sine bağlanan bir toplu iş dosyası yazar.
VBScript daha sonra zararsız görünen ancak Base64 kodlu kötü amaçlı yükleyici içeren bir JPG dosyası indirir.
Seqrite blog raporuna göre, bu yükleyici kod çözülür ve yürütülür ve son yükün dağıtımına yol açar.
JPG dosyasının steganografi kullanımı, kötü amaçlı yazılımları etkili bir şekilde gizlemesini sağlar ve algılamayı zorlaştırır.
Remcos ve Asyncrat durumunda, her ikisi de komut ve kontrol iletişimi, tuş vuruşu günlüğü ve ek yük yürütme içeren yeteneklere sahip uzaktan erişim truva atları (sıçanlar).
Özellikle Remcos, 2016 yılında kuruluşundan bu yana, sağlam komuta ve kontrol özellikleriyle bilinen kalıcı bir tehdit olmuştur.
C#’da yazılmış Asyncrat, gecikmiş yürütme gibi teknikler aracılığıyla tespitten kaçınma yeteneğiyle benzer işlevler sunar.
Teknik detaylar ve kaçırma teknikleri
Kötü amaçlı yazılım, kötü amaçlı kodları meşru süreçlere enjekte etmek için proses oyma kullanır, bu da güvenlik yazılımından kalıcılık ve kaçınma sağlar.
Dahil olan DLL’ler gizlenmiştir, bazı yaygın .NET işlev adları gizlenmiş ve ters mühendisliği daha zor hale getirir.
Saldırı ayrıca, kötü amaçlı komut dosyalarının yazıcıları yönetmek için kullanılan ve böylece şüphe önlemek için kullanılan “prnmngr.vbs” gibi gerçek sistem dosyaları veya komut dosyaları olarak gizlendiği maskelenme teknikleri kullanır.
Bu kötü amaçlı yazılım varyantları için komut ve kontrol sunucuları, kurbanın sisteminden daha da ödün vererek ek yükler dağıtma yeteneğine sahiptir.
JPG dosyalarında steganografinin kullanılması, siber tehditlerin gelişen doğasını ve bu tür sofistike saldırılara karşı korunmak için sağlam siber güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
Kullanıcılara uyanık kalmaları ve sistemlerini ve veri bütünlüğünü korumak için en iyi uygulamaları benimsemeleri tavsiye edilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.