Devlet bağlantılı olduğundan şüphelenilen bir tehdit aktörü, Avrupa ve ABD’deki devlet kurumlarını hedef almak için Microsoft Office “Follina” güvenlik açığından yararlanan yeni bir dizi saldırıyla ilişkilendirildi.
Kurumsal güvenlik firması Proofpoint, takip edilen CVE-2022-30190 (CVSS puanı: 7.8) uzaktan kod yürütme kusurundan yararlanma girişimlerini engellediğini söyledi. Hedeflere bir cazibe belgesi içeren en az 1.000 kimlik avı mesajı gönderildi.
“Bu kampanya, maaş artışı olarak maskelendi ve 45.76.53’ten indirilen yararlanma yüküyle bir RTF kullandı.[.]253” şirket söz konusu bir dizi tweette.
Bir PowerShell komut dosyası biçiminde tezahür eden yük, Base64 kodludur ve “satıcı bildirimi” adlı uzak bir sunucudan ikinci bir PowerShell komut dosyasını almak için bir indirici olarak işlev görür.[.]canlı.”
“Bu komut dosyası sanallaştırmayı kontrol eder, yerel tarayıcılardan, posta istemcilerinden ve dosya hizmetlerinden bilgi çalar, makinenin yeniden keşfini gerçekleştirir ve ardından exfil için sıkıştırır.[tration] 45.77.156’ya kadar[.]179,” diye ekledi şirket.
Kimlik avı kampanyası daha önce bilinen bir grupla bağlantılı değil, ancak hedeflemenin özgüllüğüne ve PowerShell yükünün geniş kapsamlı keşif yeteneklerine dayalı olarak bir ulus devlet aktörü tarafından başlatıldığını söyledi.
Geliştirme, kötü amaçlı yazılımlarla donatılmış Microsoft Word belgeleriyle silahlaştırılmış ZIP arşivleri sunmak için TA413 olarak izlenen Çinli bir tehdit aktörünün aktif istismar girişimlerini takip ediyor.
Hedef cihazların kontrolünü uzaktan ele geçirmek için “ms-msdt:” protokol URI şemasından yararlanan Follina güvenlik açığı, Microsoft’un müşterileri saldırı vektörünü önlemek için protokolü devre dışı bırakmaya teşvik etmesiyle yamalanmamış durumda.
Tehdit araştırmaları başkan yardımcısı Sherrod DeGrippo, The Hacker News ile paylaşılan bir bildiride, “Proofpoint, CVE-2022-30190’dan yararlanan hedefli saldırıları görmeye devam ediyor,” dedi.
“İkinci PowerShell senaryosu tarafından yürütülen kapsamlı keşif, bir hedefin bilgisayarındaki çok çeşitli yazılımlarla ilgilenen bir aktörü gösteriyor. Bu, Avrupa hükümetinin ve yerel ABD hükümetlerinin sıkı bir şekilde hedeflenmesiyle birleştiğinde, bu kampanyanın devlet hizalı bir bağlantısı olduğundan şüphelenmemize neden oldu. “
Popular Articles
- 15 Jul Çeşitli Medeniyetlerden Tüm Dünyaya Öğüt Olacak Nitelikteki 25 Atasözü
- 19 Jul Koronavirüste 24 Saat: 2 Bin 343 Hasta, 79 Can Kaybı
- 03 Jul Cüneyt Özdemir İlk Kez Sustuğu Video Paylaştı: O Kadar Acayip Durumdayız Ki Sustuğum Video, Konuştuğum Tüm Videoların İzlenme Rekorunu Kırıyor
- 03 Jul Engelli seçmene merdiven engeli - Son Dakika Haberler
- 26 Jul iQoo Neo 6 SE Pil Kapasitesi 6 Mayıs Lansmanı Öncesinde Açıklandı
Latest Articles
- 03 Jul Rusya’ya yeni arabalar çoğunlukla Çin’den, kullanılmış arabalar Japonya’dan getiriliyor
- 16 Jul OPPO ekran kırılmalara karşı 1 yıl garanti sunacak!
- 24 Jul En iyi Darktide Psyker yapısı, silahları ve becerileri
- 25 Jul Kuyruk Yüzgeçleri Balıklarda Dikeyken Balina Gibi Deniz Memelilerinde Neden Yataydır?
- 15 Jul Dünyanın en büyük alan adı şirketi GoDaddyden Stefano Maruzzi de Webrazzi Summit’te