Powershell Stager'ları Kullanarak Birden Fazla Askeri Ve Silah Yüklenicisi Şirketi Hedef Alan Bilgisayar Korsanları

Securonix Threat Labs, bir F-35 Lightning II savaş uçağı bileşenleri tedarikçisi de dahil olmak üzere Askeri ve Silah Yüklenicisi şirketlerini hedef alan yeni bir gizli saldırı kampanyası belirledi.

Bu kampanya, PowerShell kullanımını, güvenli C2 altyapısını ve PowerShell sahneleyicilerinde birden çok gizleme katmanını içeriyordu.

Spear Kimlik Avı Saldırısı

Uzmanlar, 'SpearPhishing'in ilk uzlaşmanın birincil yolu olduğunu söylüyor. Ayrıca, saldırılar en az iki yüksek profilli askeri yüklenici şirketi hedef aldı.

"Spear kimlik avı", belirli bir kişiyi, kuruluşu veya işletmeyi hedef alan bir e-posta veya elektronik iletişim dolandırıcılığıdır. Genellikle kötü amaçlarla veri çalmak amacıyla tasarlanmış olsa da, siber suçlular hedeflenen bir kullanıcının bilgisayarına kötü amaçlı yazılım yüklemeyi de düşünebilir.

Virüs bulaşma aşaması başlangıçta kötü amaçlı bir ek içeren hedefe gönderilen kimlik avı e-postasıyla başladı. Bu, daha önce bildirilen STIFF # BIZON kampanyasına benziyordu. E-postada kısayol dosyası içeren sıkıştırılmış bir dosya vardır, bu durumda "Company & Benefits.lnk".

Algılanmayı önlemek için, kısayol dosyası cmd.exe veya powershell.exe yerine forfiles çağırarak yürütülmesini gizlemeye çalışır ve komutları yürütmek için olağandışı "C:\Windows\System32\ForFiles.exe" komutunu kullanır.

Gizleme teknikleri arasında yeniden sıralama/sembol gizleme, IEX gizleme, bayt değeri gizleme, ham sıkıştırma, yeniden sıralama, dize değiştirme ve geri tik işareti gizleme yer alır.

Araştırmacılar, komut dosyasının hata ayıklama ve izleme yazılımıyla bağlantılı işlemlerin bir listesini taradığını, ekran yüksekliğinin 777 pikselin üzerinde olduğunu ve belleğin sanal alanlardan kaçınmak için 4GB'ın üzerinde olduğunu kontrol ettiğini ve sistemin üç günden daha uzun bir süre önce kurulduğunu doğruladığını söylüyor.

Denetim başarısız olursa, komut dosyası sistem ağ bağdaştırıcılarını devre dışı bırakır, Windows Güvenlik Duvarı'nı tüm trafiği engelleyecek şekilde yapılandırır, algılanan tüm sürücülerdeki her şeyi siler ve ardından bilgisayarı kapatır.

Daha sonra, tüm denetimler geçerse, komut dosyası PowerShell Komut Dosyası Engelleme Günlüğü'nü devre dışı bırakarak devam eder ve ".lnk", ".rar" ve ".exe" dosyaları ve ayrıca kötü amaçlı yazılımın işlevi için kritik dizinler için Windows Defender dışlamaları ekler.

Securonix, "header.png dosyasını indirip analiz edebilsek de, kampanyanın tamamlandığına inandığımız için kodunu çözemedik ve teorimiz, daha fazla analizi önlemek için dosyanın değiştirildiğidir" dedi.

"Yükün kodunu çözme girişimlerimiz yalnızca çöp verileri üretecektir."

Saldırı Zincirinin Çeşitli Bölümlerinde Kullanılan Etki Alanları:

• terma(.)dev
• terma(.)icu
• terma(.)app
• terma(.)vip
• terma(.)wiki
• terma(.)pics
• terma(.)lol
• terma(.)ink

Bu nedenle, bu saldırı, kötü niyetli tehdit aktörünün opsec'e özel dikkat göstermesiyle karmaşıktı. Araştırmacılar, bu durumda, 'Kalıcılık'ın yeni Kayıt Defteri anahtarları ekleme, komut dosyasını zamanlanmış bir göreve katıştırma, Başlangıç dizinine yeni bir giriş ekleme ve ayrıca WMI abonelikleri dahil olmak üzere birden fazla yöntemle elde edildiğini söylüyor.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.