![LODEINFO Dosyasız Kötü Amaçlı Yazılım, Anti-Analiz ve Uzaktan Kod Hileleriyle Gelişiyor](https://kilalu.blog/news/2024-07-30-23:45/LODEINFO Dosyasız Kötü Amaçlı Yazılım, Anti-Analiz ve Uzaktan Kod Hileleriyle Gelişiyor.jpg)
25 Ocak 2024Haber odasıDosyasız Kötü Amaçlı Yazılım / Uç Nokta Güvenliği
Siber güvenlik araştırmacıları, arka kapının güncellenmiş bir versiyonunu ortaya çıkardı. LODEINFO Hedef odaklı kimlik avı saldırıları yoluyla dağıtılıyor.
Bulgular Japon şirketi ITOCHU Cyber & Intelligence’dan geliyor. söz konusu Kötü amaçlı yazılım “yeni özelliklerin yanı sıra anti-analiz (analizden kaçınma) tekniklerinde yapılan değişikliklerle güncellendi.”
LODEINFO (sürüm 0.6.6 ve 0.6.7) ilk olarak Kaspersky tarafından Kasım 2022’de belgelendi; bu belgede, isteğe bağlı kabuk kodu yürütme, ekran görüntüleri alma ve dosyaları aktör tarafından kontrol edilen bir sunucuya geri çıkarma yeteneklerinin ayrıntıları verildi.
Bir ay sonra ESET, Japon siyasi kurumlarını hedef alan ve LODEINFO’nun konuşlandırılmasına yol açan saldırıları açıkladı.
Arka kapı, 2021’den bu yana Japonya’yı hedef alan saldırılar düzenleme geçmişine sahip olan Stone Panda (aka APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace ve Potassium) olarak bilinen Çinli bir ulus devlet aktörünün eseridir.
Saldırı zincirleri, açıldığında en sonunda LODEINFO implantını çalıştırabilecek indirici kabuk kodunu başlatmak için VBA makrolarını çalıştıran, kötü amaçlı Microsoft Word belgeleri taşıyan kimlik avı e-postalarıyla başlar.
![LODEINFO Dosyasız Kötü Amaçlı Yazılım LODEINFO Dosyasız Kötü Amaçlı Yazılım](https://teknomers.com/wp-content/uploads/2024/01/1706238545_871_LODEINFO-Dosyasiz-Kotu-Amacli-Yazilim-Anti-Analiz-ve-Uzaktan-Kod-Hileleriyle.jpg)
2023’teki LODEINFO enfeksiyon yollarının, kurban şablonu içeren sahte bir Word belgesini her açtığında, düşmanın altyapısında barındırılan kötü amaçlı makroları almak ve yürütmek için uzak şablon enjeksiyon yöntemlerinden yararlanıldığı da gözlemlendi.
Dahası, Microsoft Office’in Japonca olup olmadığını belirlemek için dil ayarlarını doğrulamak amacıyla Haziran 2023 civarında kontrollerin eklendiği, ancak bir ay sonra LODEINFO 0.7.1 sürümünü kullanan saldırılarda kaldırılacağı söyleniyor.
![LODEINFO Dosyasız Kötü Amaçlı Yazılım LODEINFO Dosyasız Kötü Amaçlı Yazılım](https://teknomers.com/wp-content/uploads/2024/01/1706238546_883_LODEINFO-Dosyasiz-Kotu-Amacli-Yazilim-Anti-Analiz-ve-Uzaktan-Kod-Hileleriyle.jpg)
ITOCHU, “Ayrıca maldoc’un dosya adı da Japonca’dan İngilizceye değiştirildi.” dedi. “Bundan yola çıkarak v0.7.1’in büyük olasılıkla Japonca dışındaki dillerdeki ortamlara saldırmak için kullanıldığına inanıyoruz.”
LODEINFO sürüm 0.7.1’i sağlayan saldırılardaki bir diğer dikkate değer değişiklik, kabuk kodu indiricisinin Gizliliği Geliştirilmiş Posta olarak görünen bir dosyayı getirmesini içeren yeni bir ara aşamanın tanıtılmasıdır (PEM) bir C2 sunucusundan, bu da arka kapıyı doğrudan belleğe yükler.
İndirici, kötü amaçlı kodu gizlemeye yönelik kendi kendine yama mekanizmasına, komuta ve kontrol (C2) sunucu bilgilerine yönelik kodlama yöntemine ve sahte PEM dosyasından şifresi çözülen verilerin yapısına dayanan DOWNIISSA adlı bilinen bir dosyasız indiriciyle benzerlikler paylaşıyor.
Şirket, “LODEINFO arka kapı kabuk kodu, saldırganların virüslü ana bilgisayarlara uzaktan erişmesine ve çalıştırmasına olanak tanıyan dosyasız bir kötü amaçlı yazılımdır” dedi ve 2023 ve 2024’te bulunan örneklerde ekstra komutlar yer aldı. LODEINFO’nun en son sürümü 0.7.3’tür.
“Karşı önlem olarak, LODEINFO’nun hem indirici kabuk kodu hem de arka kapı kabuk kodu dosyasız kötü amaçlı yazılım olduğundan, onu tespit etmek için bellekteki kötü amaçlı yazılımı tarayabilen ve tespit edebilen bir ürünün tanıtılması önemlidir” diye ekledi.
Popular Articles
- 15 Jul MİlaT 7. bölüm bugün TRT 1de
- 07 Aug 2 Korumasıyla Berlin Sokaklarında Alışverişe Çıkan Angela Merkel
- 21 Jul Ukraynada Ayrılıkçılar Tarafından 24 Saat İçinde 60 Ateşkes İhlali
- 20 Jul Android Oyunları Canlı Olarak Youtube’da Yayınlanabilecek
- 31 Jul Balıkesirspor Torku Konyaspor: 0-1
Latest Articles
- 10 Aug Israeli forces have arrested ten Palestinians in the occupied West Bank
- 03 Aug Samsung Galaxy A52 5G ve A72’nin fiyatı sızdırıldı!
- 14 Aug NASA’nın Webb’i yeni yıldız formları olarak ateşli kum saati yakalar
- 05 Aug Windows 11, Anketlerde Windows XPyi Bile Geçemedi: En Kötü Çıkış Yapan Sürümlerden Biri Oldu
- 20 Jul Ok.Net test yayınına başladı!
Other Articles
- Çin’in Powerstar CPU’su Görünüşte Geekbench Üzerinden Intel Silicon Olarak “Onaylandı”
- Tomb Raider, Amazon’un İzniyle Oyunlar, Film ve TV Yoluyla Birbirine Bağlı Bir Evrene Kavuşuyor
- Musk: Tesla Model S Plaid, 100 km/sye 1,96 Saniyede Çıkan En Hızlı Araç Oldu
- Ibottanın halka arzının keskin bir yükselişle açılması, kamu piyasasının teknoloji hisselerine olan ilgisinin arttığına işaret ediyor
- ‘Altın Sanat Ödülleri’ sahiplerini buldu