SafeBreach Labs araştırma ekibi, Windows güncelleme sürecinin bir parçası gibi görünen yeni, tamamen saptanamayan (FUD) bir PowerShell arka kapısı tespit etti.
SafeBreach güvenlik araştırması direktörü Tomer Bar, “Gizli kendi geliştirdiği araç ve ilgili C2 komutları, yaklaşık 100 kurbanı hedef alan karmaşık, bilinmeyen bir tehdit aktörünün işi gibi görünüyor.”
FUD Powershell Arka Kapısının Çalışması
Bu saldırı, başlangıçta bilinmeyen bir PowerShell betiğini başlatan bir makro kodundan oluşan silahlı bir Word belgesiyle başlar.
Araştırmacılar, dosyanın meta verilerinin, bu kampanyanın iddia edilen LinkedIn tabanlı bir iş başvurusu ‘spearphishing cazibesi’ ile ilişkili olduğunu ifşa ettiğini söylüyor.
Bu durumda, iki PowerShell betiği tasarlanmıştır, ilki uzak bir komut ve kontrol (C2) sunucusuna bağlanmak ve ikinci bir PowerShell betiği aracılığıyla güvenliği ihlal edilmiş makinede başlatılacak bir komutu almaktır.
Ayrıca araştırmacılar, tehdit aktörünün tahmin edilebilir kurbanların kimliklerini kullanarak önemli bir operasyon güvenliği hatası yaptığını söylüyor. Saldırgan, kurban tanımlayıcılarını tahmin edilebilir bir sırayla yayınlayarak hata yaptı.
Analiz sırasında, çalışan işlemlerin listesinin çıkarılması, belirli klasörlerdeki dosyaların numaralandırılması, whoami’nin başlatılması ve genel kullanıcı klasörleri altındaki dosyaların silinmesi gibi birkaç önemli komut verildi.
Özellikle, Microsoft son zamanlarda internetten indirilen dosyalardaki makroları engellemek için Office uygulamalarının varsayılan davranışını değiştirdi.
Raporlar, Microsoft’un Office uygulamalarında varsayılan olarak Excel 4.0 (XLM veya XL4) ve Visual Basic for Applications (VBA) makrolarını engellemek için adımlar attığını ve tehdit aktörlerinin alternatif dağıtım yöntemlerine dönmesini istediğini söylüyor.
Bu nedenle araştırmacılar, “bu tanınmayan kötü amaçlı yazılım türü, VirusTotal.com altındaki tüm güvenlik sağlayıcılarının tarayıcılarını atlamayı başardı” diyor.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin