CERT-UA, OCEANMAP, MASEPIE, STEELHOOK Dağıtan Yeni Kötü Amaçlı Yazılım Dalgasını Ortaya Çıkardı

Ajans tarafından 15-25 Aralık 2023 tarihleri arasında tespit edilen etkinlik, alıcıları bir belgeyi görüntülemek için bir bağlantıya tıklamaya çağıran e-posta mesajlarıyla Ukrayna devlet kurumlarını ve Polonya kuruluşlarını hedef aldı.

Ancak, tam tersine, bağlantılar, MASEPIE olarak bilinen yeni bir kötü amaçlı yazılım için bir bulaşma zincirini etkinleştirmek üzere PowerShell komutlarını başlatan bir Windows kısayol dosyasını (LNK) bırakmak için JavaScript'i ve "search-ms:" URI protokol işleyicisini kötüye kullanan kötü amaçlı web kaynaklarına yönlendirir.

MASEPIE, TCP protokolünü kullanarak şifreli bir kanal üzerinden gerçekleşen komut ve kontrol (C2) sunucusuyla iletişim ile dosya indirmek/yüklemek ve komutları yürütmek için Python tabanlı bir araçtır.

Saldırılar, web tarayıcısı verilerini toplayabilen ve bunları Base64 kodlu biçimde aktör tarafından kontrol edilen bir sunucuya aktarabilen STEELHOOK adlı bir PowerShell komut dosyası da dahil olmak üzere ek kötü amaçlı yazılımların dağıtılmasının önünü açıyor.

Ayrıca, cmd.exe kullanarak komutları yürütmek için tasarlanmış OCEANMAP adlı C# tabanlı bir arka kapı da teslim edilir.

CERT-UA, "IMAP protokolü bir kontrol kanalı olarak kullanılıyor" dedi ve Windows Başlangıç klasöründe "VMSearch.url" adlı bir URL dosyası oluşturularak kalıcılık sağlandığını da sözlerine ekledi.

"Base64 kodlu biçimdeki komutlar, ilgili e-posta dizinlerinin 'Taslaklarında' bulunur; taslakların her biri bilgisayarın adını, kullanıcının adını ve işletim sisteminin sürümünü içerir. Komutların sonuçları gelen kutusu dizininde saklanır."

Ajans ayrıca, keşif ve yanal hareket faaliyetlerinin Impacket ve SMBExec gibi araçlardan yararlanarak ilk uzlaşmadan sonraki bir saat içinde gerçekleştirildiğine dikkat çekti.

Açıklama, IBM X-Force'un APT28'in HeadLace adlı özel bir arka kapının teslimini kolaylaştırmak için devam eden İsrail-Hamas savaşıyla ilgili yemleri kullandığını ortaya çıkarmasından haftalar sonra geldi.

Son haftalarda, üretken Kremlin destekli bilgisayar korsanlığı grubu, Exchange sunucularındaki kurbanların hesaplarına yetkisiz erişim elde etmek için Outlook e-posta hizmetinde (CVE-2023-23397, CVSS puanı: 9.8) şu anda yamalanmış kritik bir güvenlik açığından yararlanılmasıyla da ilişkilendirildi.

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği