Avrupa'daki finans ve sigorta sektörleri Raspberry Robin solucanı tarafından hedef alınırken, kötü amaçlı yazılım radarın altında kalarak istismar sonrası yeteneklerini geliştirmeye devam ediyor.
Security Joes Pazartesi günü yayınladığı yeni bir raporda, "Kötü amaçlı yazılımın benzersiz yanı, yoğun bir şekilde gizlenmiş olması ve statik olarak sökülmesinin oldukça karmaşık olmasıdır" dedi.
İspanyolca ve Portekizce konuşan kuruluşlara karşı gözlemlenen saldırılar, daha önce belgelenenden daha fazla kurban makine verisi toplamasıyla dikkat çekiyor ve kötü amaçlı yazılım artık analize direnmek için sofistike teknikler sergiliyor.
QNAP solucanı olarak da adlandırılan Raspberry Robin, çeşitli tehdit aktörleri tarafından hedef ağlarda yer edinmek için bir araç olarak kullanılıyor. Virüslü USB sürücüler ve diğer yöntemlerle yayılan çerçeve, son zamanlarda telekom ve devlet sektörlerini hedef alan saldırılarda kullanılmaya başlandı.
Microsoft, Raspberry Robin operatörlerini DEV-0856 takma adıyla takip ediyor.
Security Joes'un bu tür bir saldırıya ilişkin adli araştırması, kurbanın tarayıcısından sosyal mühendislik yoluyla indirilen ve birden fazla modül bırakmak için tasarlanmış bir MSI yükleyici dosyası içeren bir 7-Zip dosyasının kullanıldığını ortaya çıkardı.
Başka bir örnekte, bir ZIP dosyasının kurban tarafından reklam yazılımı dağıttığı bilinen bir etki alanında barındırılan sahte bir reklam aracılığıyla indirildiği söyleniyor.
Bir Discord sunucusunda saklanan arşiv dosyası, yürütüldüğünde, tespit edilmekten kaçınmak için çok sayıda gizleme ve şifreleme katmanıyla korunan bir indirici bırakan kodlanmış JavaScript kodu içerir.
Kabuk kodu indiricisi öncelikle ek yürütülebilir dosyaları almak için tasarlanmıştır, ancak aynı zamanda kurbanlarının profilini çıkararak uygun yükleri sunmasını sağlayan, hatta bazı durumlarda sahte kötü amaçlı yazılım sunarak bir tür hileye başvuran önemli yükseltmeler de görmüştür.
Bu, kötü amaçlı yazılımın eski sürümleri tarafından toplanan ana bilgisayar adı ve kullanıcı adı bilgilerinin yanı sıra ana bilgisayarın Evrensel Benzersiz Tanımlayıcısını (UUID), işlemci adını, bağlı görüntüleme cihazlarını ve sistem başlangıcından bu yana geçen dakika sayısını toplamayı içerir.
Keşif verileri daha sonra sabit kodlanmış bir anahtar kullanılarak şifrelenir ve bir komuta ve kontrol (C2) sunucusuna iletilir, bu sunucu da daha sonra makinede çalıştırılan bir Windows ikili dosyası ile yanıt verir.
Tehdit araştırmacısı Felipe Duarte, "Kötü amaçlı yazılımın birkaç kat daha karmaşık bir sürümünü keşfetmekle kalmadık, aynı zamanda eskiden düz metin kullanıcı adı ve ana bilgisayar adı içeren bir URL'ye sahip olan C2 işaretinin artık sağlam bir RC4 şifrelenmiş yüke sahip olduğunu gördük" dedi.
thehackernews'dan alntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder