Yokai Arka Kapı Kampanyasında Taylandlı Yetkililer DLL Yan Yükleme Tekniklerini Kullanarak Hedeflendi


14 Aralık 2024Ravie LakshmananKötü Amaçlı Yazılım / Siber Tehdit

Yokai Arka Kapı Kampanyası

Tayland hükümet yetkilileri, daha önce belgelenmemiş bir arka kapı sunmak için DLL yan yükleme adı verilen bir teknikten yararlanan yeni bir kampanyanın hedefi olarak ortaya çıktı. Yokai.

Netskope’un Güvenlik Etkinliği ekibinin kıdemli mühendisi Nikhil Hegde, The Hacker News’e şunları söyledi: “Tehdit aktörlerinin hedefi, yemlerin niteliğine göre Taylandlı yetkililerdi.” “Yokai arka kapısının kendisi sınırlı değildir ve herhangi bir potansiyel hedefe karşı kullanılabilir.”

Saldırı zincirinin başlangıç ​​noktası, Tay dilinde “Amerika Birleşik Devletleri Adalet Bakanlığı.pdf” ve “Amerika Birleşik Devletleri hükümeti cezai konularda uluslararası işbirliği talep ediyor.docx” anlamına gelen iki Windows kısayol dosyasını içeren bir RAR arşividir.

Siber güvenlik

Yükü iletmek için kullanılan tam başlangıç ​​vektörü şu anda bilinmiyor, ancak Hegde, kullanılan tuzaklar ve RAR dosyalarının kimlik avı e-postalarında kötü amaçlı eklentiler olarak kullanılması nedeniyle bunun büyük olasılıkla hedef odaklı kimlik avı olabileceğini tahmin etti.

Kısayol dosyalarının başlatılması, sırasıyla sahte bir PDF ve Microsoft Word belgesinin açılmasına neden olurken aynı zamanda kötü amaçlı bir yürütülebilir dosyanın gizlice arka planda bırakılmasına neden olur. Her iki yem dosyası da Meksikalı bir göçmenin ortadan kaybolmasıyla bağlantılı olarak ABD’de aranan Tayland vatandaşı Woravit Mektrakarn ile ilgili. Mektrakarn’ın 2003 yılında cinayetle suçlandığı ve Tayland’a kaçtığı söyleniyor.

Yürütülebilir dosya, üç dosyayı daha bırakacak şekilde tasarlanmıştır: iTop Veri Kurtarma uygulaması (“IdrInit.exe”) ile ilişkili yasal bir ikili dosya, kötü amaçlı bir DLL (“ProductStatistics3.dll”) ve bilgi içeren bir DATA dosyası saldırgan tarafından kontrol edilen bir sunucu tarafından gönderilir. Bir sonraki aşamada, “IdrInit.exe”, DLL dosyasını dışarıdan yüklemek için kötüye kullanılır ve sonuçta arka kapının konuşlandırılmasına yol açar.

DLL Yan Yükleme Teknikleri

Yokai, ana bilgisayarda kalıcılığın ayarlanmasından ve cmd.exe’nin oluşturulmasına ve ana bilgisayarda kabuk komutlarının yürütülmesine olanak tanıyan komut kodlarını almak için komut ve kontrol (C2) sunucusuna bağlanmaktan sorumludur.

Bu gelişme, Zscaler ThreatLabz’ın, XMRig, Lumma ve Phemedrone Stealer gibi kripto para birimi madencilerini ve bilgi çalan programları dağıtmak için Windows için Node.js ile derlenmiş yürütülebilir dosyalardan yararlanan bir kötü amaçlı yazılım kampanyası keşfettiğini açıklamasının ardından geldi. Sahte uygulamaların kod adı NodeLoader’dır.

Saldırılar, YouTube video açıklamalarına yerleştirilmiş kötü amaçlı bağlantılar kullanarak kullanıcıları MediaFire’a veya video oyunu hack’leri gibi görünen bir ZIP arşivini indirmeye teşvik eden sahte web sitelerine yönlendiriyor. Saldırıların nihai hedefi, NodeLoader’ı çıkarıp çalıştırmaktır; NodeLoader, son aşamadaki kötü amaçlı yazılımın başlatılmasından sorumlu bir PowerShell betiğini indirir.

Siber güvenlik

Zscaler, “NodeLoader, ayrıcalık yükseltme için GitHub ve npm’de halka açık bir araç olan sudo-prompt adlı bir modülü kullanıyor.” dedi. “Tehdit aktörleri, NodeLoader’ı tespit edilmeden sunmak için sosyal mühendislik ve kaçırma önleme tekniklerini kullanıyor.”

Bu aynı zamanda, ticari olarak temin edilebilen Remcos RAT’ı dağıtan kimlik avı saldırılarında yaşanan ani artışın da ardından geliyor; tehdit aktörleri, çok aşamalı süreci tetiklemek için Visual Basic Komut Dosyası (VBS) komut dosyalarını ve Office Açık XML belgelerini bir başlatma paneli olarak kullanarak enfeksiyon zincirlerine yeni bir görünüm kazandırıyor.

DLL Yan Yükleme Teknikleri

Bir dizi saldırıda, VBS dosyasının çalıştırılması, geçici yükleri indiren oldukça karmaşık bir PowerShell betiğine yol açıyor ve sonuçta Remcos RAT’ın yasal bir Microsoft .NET yürütülebilir dosyası olan RegAsm.exe’ye enjekte edilmesiyle sonuçlanıyor.

Diğer değişken, Microsoft Denklem Düzenleyicisi’nde bilinen bir uzaktan kod yürütme kusuru olan CVE-2017-11882’ye duyarlı bir RTF dosyasını yüklemek için bir Office Açık XML belgesinin kullanılmasını ve daha sonra enjekte etmek üzere PowerShell’i getirmeye devam eden bir VBS dosyasını getirmeyi gerektirir. Remcos yükü RegAsm.exe belleğine yüklenir.

Her iki yöntemin de dosyaları diske yazmaktan kaçındığını ve güvenlik ürünleri tarafından tespit edilmekten kaçınmak için kasıtlı bir girişimle bunları geçerli işlemlere yüklediğini belirtmekte fayda var.

McAfee Labs araştırmacıları, “Bu uzaktan erişim truva atı, kimlik avı e-postaları ve kötü amaçlı ekler yoluyla tüketicileri hedeflemeye devam ederken, proaktif siber güvenlik önlemlerine duyulan ihtiyaç hiç bu kadar kritik olmamıştı” dedi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link