Dikkat! Tamamen Algılanamayan PowerShell Arka Kapı (Backdoor) Belgesi
SafeBreach Labs araştırma ekibi, kendisini Windows güncelleştirme işleminin bir parçası olarak maskeleyen yeni bir tamamen algılanamayan (FUD) PowerShell arka kapısı tespit etti.
SafeBreach'te güvenlik araştırması direktörü olan Tomer Bar, "Kendi geliştirdiği gizli araç ve ilişkili C2 komutları, yaklaşık 100 kurbanı hedef alan sofistike, bilinmeyen bir tehdit aktörünün eseri gibi görünüyor" dedi.
FUD Powershell Arka Kapısının (Backdoor) Çalışması
Bu saldırı başlangıçta bilinmeyen bir PowerShell scriptini başlatan bir makro kodundan oluşan bir Word belgesiyle başlar.
Araştırmacılar, dosyanın meta verilerinin, bu kampanyanın iddia edilen LinkedIn tabanlı bir iş başvurusu olan 'spearphishing lure' ile ilişkili olduğunu açıkladığını söylüyor.
Bu durumda, iki PowerShell scripti tasarlanır, birincisi bir uzaktan komut ve denetim (C2) sunucusuna bağlanmak ve güvenliği ihlal edilmiş makinede ikinci bir PowerShell scripti aracılığıyla başlatılacak bir komutu almaktır.
Ayrıca, araştırmacılar tehdit aktörünün öngörülebilir kurbanların kimliklerini kullanarak çok önemli bir operasyon güvenliği hatası yaptığını söylüyor. Saldırgan, kurban tanımlayıcılarını öngörülebilir bir sırayla yayınlayarak berbat oldu.
Analiz sırasında, çalışan işlemlerin listesini sızdırmak, belirli klasörlerdeki dosyaları numaralandırmak, whoami'yi başlatmak ve ortak kullanıcı klasörleri altındaki dosyaları silmek gibi birkaç önemli komut verildi.
Özellikle, Microsoft son zamanlarda internetten indirilen dosyalardaki makroları engellemek için Office uygulamalarının varsayılan davranışını değiştirdi.
Raporlar, Microsoft'un Excel 4.0 (XLM veya XL4) ve Visual Basic for Applications (VBA) makrolarını Office uygulamalarında varsayılan olarak engellemek için adımlar attığını ve tehdit aktörlerinin alternatif teslim yöntemlerine dönmelerini istediğini söylüyor.
Bu nedenle, araştırmacılar "bu tanınmayan kötü amaçlı yazılım türü, VirusTotal.com altındaki tüm güvenlik satıcılarının tarayıcılarını atlamayı başardı" diyor.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News
