12 Mayıs 2023Ravie LakshmananSiber Tehdit / Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, XWorm kötü amaçlı yazılımını hedeflenen sistemlere dağıtmak için benzersiz bir saldırı zincirinden yararlanan, devam eden bir kimlik avı kampanyası keşfettiler.
adı altında aktivite kümesini takip eden Securonix MEME#4CHANbazı saldırıların öncelikle Almanya’da bulunan imalat firmalarını ve sağlık kliniklerini hedef aldığını söyledi.
Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, The Hacker News ile paylaşılan yeni bir analizde, “Saldırı harekatı, kurbanlarını etkilemek için oldukça olağandışı memlerle dolu PowerShell kodundan yararlanıyor ve ardından ağır şekilde gizlenmiş bir XWorm yükü kullanıyor.”
Rapor üzerine kuruludur son bulgular Tehdit aktörünün, kurbanları XWorm ve Ajan Tesla yüklerini teslim edebilen kötü amaçlı belgeleri açmaları için kandırmaya yönelik rezervasyon temalı tuzaklarını ortaya çıkaran Elastic Security Labs’tan.
Saldırılar, makro kullanmak yerine Follina güvenlik açığını (CVE-2022-30190, CVSS puanı: 7.8) gizlenmiş bir PowerShell betiğini düşürmek için silah haline getiren sahte Microsoft Word belgelerini dağıtmak için kimlik avı saldırılarıyla başlar.
Oradan, tehdit aktörleri, Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzünü atlamak için PowerShell betiğini kötüye kullanır (AMSI), Microsoft Defender’ı devre dışı bırakın, kalıcılık sağlayın ve sonunda XWorm’u içeren .NET ikilisini başlatın.
İlginç bir şekilde, PowerShell betiğindeki değişkenlerden birinin adı “$CHOTAbheem”dir ve bu muhtemelen Chhota Bheembir Hint animasyon komedi macera televizyon dizisi.
The Hacker News’e konuşan araştırmacılar, “Hızlı bir kontrole göre, saldırıdan sorumlu kişi veya grubun Orta Doğu/Hindistan kökenli olabileceği anlaşılıyor, ancak nihai atıf henüz doğrulanmadı.” örtü olarak da kullanılabilir.
XWorm bir emtia kötü amaçlı yazılım yeraltı forumlarında satışa sunulan ve virüs bulaşmış ana bilgisayarlardan hassas bilgileri sifonlamasına izin veren çok çeşitli özelliklerle birlikte gelen.
Kötü amaçlı yazılım, kesme, DDoS ve fidye yazılımı işlemleri gerçekleştirebilmesi, USB aracılığıyla yayılabilmesi ve ek kötü amaçlı yazılım bırakabilmesi açısından aynı zamanda bir İsviçre Çakısıdır.
Securonix, saldırı metodolojisinin geçmişte konaklama endüstrisini vurduğu gözlemlenen TA558’inkine benzer eserler paylaştığını söylese de, tehdit aktörünün kesin kökenleri şu anda belirsiz.
“Microsoft makroları varsayılan olarak devre dışı bırakma kararı aldığından, kimlik avı e-postaları nadiren Microsoft Office belgelerini kullansa da, bugün, özellikle de VBscript yürütmesinin olmadığı bu durumda, kötü amaçlı belge dosyaları konusunda dikkatli olmanın hala önemli olduğunun kanıtlarını görüyoruz. makrolar” dedi araştırmacılar.