![MULTI#STORM Kampanyası, Uzaktan Erişim Truva Atlarıyla Hindistan ve ABD’yi Hedefliyor](https://kilalu.blog/news/2024-07-11-08:50/MULTI#STORM Kampanyası, Uzaktan Erişim Truva Atlarıyla Hindistan ve ABD’yi Hedefliyor.jpg)
22 Haziran 2023Ravie LakshmananSiber Saldırı / Kimlik Avı
Kod adlı yeni bir kimlik avı kampanyası ÇOKLU FIRTINA güvenliği ihlal edilmiş sistemlerde uzaktan erişim truva atları sağlamak için JavaScript dosyalarından yararlanarak gözünü Hindistan ve ABD’ye dikti.
Securonix araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, “Saldırı zinciri, kurban makineye Warzone RAT ve Quasar RAT gibi birden fazla benzersiz RAT (uzaktan erişim truva atı) kötü amaçlı yazılım örneğinin bulaşmasıyla sona eriyor.” söz konusu.
“Her ikisi de enfeksiyon zincirinin farklı aşamalarında komuta ve kontrol için kullanılıyor.”
Çok aşamalı saldırı zinciri, bir e-posta alıcısı “12345” parolasıyla Microsoft OneDrive’da barındırılan parola korumalı bir ZIP dosyasına (“REQUEST.zip”) işaret eden katıştırılmış bağlantıya tıkladığında başlar.
Arşiv dosyası ayıklandığında, çift tıklandığında, OneDrive’dan iki ayrı yükü almaktan ve bunları yürütmekten sorumlu iki PowerShell komutunu yürüterek bulaşmayı etkinleştiren, aşırı derecede karartılmış bir JavaScript dosyası (“REQUEST.js”) ortaya çıkar.
İki dosyadan ilki, kurbana görüntülenen sahte bir PDF belgesiyken, Python tabanlı bir yürütülebilir dosya olan ikinci dosya arka planda gizlice çalıştırılıyor.
İkili dosya, içinde Base64 kodlu dizeler (“Storm.exe”) biçiminde paketlenmiş ana yükü ayıklamak ve çalıştırmak için bir damlalık işlevi görür, ancak Windows Kayıt Defteri değişikliği yoluyla kalıcılığı ayarlamadan önce bunu yapmaz.
İkili dosya tarafından ayrıca kodu çözülen ikinci bir ZIP dosyasıdır (“files.zip”) ve her biri Kullanıcı Hesabı Denetimini atlayacak şekilde tasarlanmış dört farklı dosya içerir (UAC) ve sahte güvenilir dizinler oluşturarak ayrıcalıkları artırın.
![Uzaktan Erişim Truva Atları Uzaktan Erişim Truva Atları](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2023/06/1687470947_73_MULTISTORM-Kampanyasi-Uzaktan-Erisim-Truva-Atlariyla-Hindistan-ve-ABDyi-Hedefliyor.jpg)
Dosyalar arasında, Securonix’in kullanılan programlama dilindeki farklılığa rağmen DBatLoader adlı başka bir yükleyiciyle birkaç ortak noktayı paylaştığını söylediği bir toplu iş dosyası (“check.bat”) vardır.
“KDECO.bat” adlı ikinci bir dosya, Microsoft Defender’a bir antivirüs dışlama kuralı “C:Users” dizinini atlamak için.
Saldırı, ayda 38 ABD Doları karşılığında satışa sunulan ve hassas verileri toplamak ve Quasar RAT gibi ek kötü amaçlı yazılımları indirmek için kapsamlı bir özellik listesiyle birlikte gelen, kullanıma hazır bir kötü amaçlı yazılım olan Warzone RAT’ın (aka Ave Maria) konuşlandırılmasıyla sona erer. .
Araştırmacılar, “Özellikle bir aciliyet duygusu vurgulandığında, kimlik avı e-postaları söz konusu olduğunda ekstra tetikte olmak önemlidir” dedi.
“Kullanıcının doğrudan bir JavaScript dosyasını çalıştırmasını gerektireceğinden, bu özel cazibe genellikle dikkate değer değildi. Kısayol dosyaları veya çift uzantı kullanan dosyalar muhtemelen daha yüksek bir başarı oranına sahip olacaktır.”
Popular Articles
- 09 Jul Nvidia ekran kartlarına performans artışı sunan güncelleme!
- 29 Jun Myanmar Ordusu Haziran Ayına Kadar Tüm Uçuşları Askıya Aldı
- 08 Jul CHPli Günaydından Can Atalay Çıkışı: Katibin Konuşması Duyulmadı, Kararın Bağlayıcılığı Yok
- 24 Jun Şevval Şahinin Sarı Saçlarıyla Verdiği Pozdan Afra Saraçoğluna Ünlülerin Dikkat Çeken Instagram Paylaşımları
- 23 Jul Memur-Sen 1 Mayısı Diyarbakırda kutlayacak
Latest Articles
- 02 Jul Utah’ın Saymanı, ESG’nin ‘Şeytanın Planı’ Olduğunu Söyledi
- 01 Jul Gizli Güvenlik Açığı Finans Yöneticileri Eksik
- 04 Jul Steam Greenlight’ta Desteklerinizi Bekleyen 7 Yerli Yapım Oyun!
- 09 Jul Fantastic Four Filminde Galactus’a Kimin Hayat Vereceği Belli Oldu
- 28 Jun Bayburt’ta bayat ekmekler barınaktaki hayvanlar için toplanıyor