Donut ve Şerit Çerçeveleri Kullanan Siber Saldırıların Hedefi İsrailli Kuruluşlar

Doğası gereği yüksek oranda hedefli olduğuna inanılan kampanya, "hedefe özel altyapıdan ve özel WordPress web sitelerinden bir yük dağıtım mekanizması olarak yararlanıyor, ancak ilgisiz dikeylerdeki çeşitli varlıkları etkiliyor ve iyi bilinen açık kaynaklı kötü amaçlı yazılımlara güveniyor" dedi.

Fransız şirket, Sözde Çekirge adı altında faaliyeti takip ediyor. Saldırgan tarafından kontrol edilen bir sunucuya ("auth.economy-gov-il[.] com/SUPPOSED_GRASSHOPPER.bin"), birinci aşama indiricinin bağlandığı.

Nim'de yazılmış bu indirici ilkeldir ve ikinci aşama kötü amaçlı yazılımı hazırlama sunucusundan indirmekle görevlendirilir. Drive-by indirme şemasının bir parçası olarak özel WordPress siteleri aracılığıyla yayıldığından şüphelenilen bir sanal sabit disk (VHD) dosyası aracılığıyla teslim edilir.

Sunucudan alınan ikinci aşama yükü, Sliver adlı açık kaynaklı bir Cobalt Strike alternatifini dağıtmak için bir kanal görevi gören bir kabuk kodu oluşturma çerçevesi olan Donut'tur.

Araştırmacılar, "Operatörler ayrıca, özel altyapı elde etmek ve yükleri teslim etmek için gerçekçi bir WordPress web sitesi dağıtmak için bazı önemli çabalar sarf ediyor" dedi. "Genel olarak, bu kampanya gerçekçi bir şekilde küçük bir ekibin işi olabilirmiş gibi geliyor."

Tehlikenin nihai hedefi şu anda bilinmiyor, ancak HarfangLab, şeffaflığı ve İsrail devlet kurumlarını taklit etme ihtiyacını çevreleyen kendi sorularını gündeme getiren bir olasılık olan meşru bir sızma testi operasyonu ile de ilişkilendirilebileceğini teorileştirdi.

Açıklama, SonicWall Capture Labs tehdit araştırma ekibinin, Orcinius olarak bilinen bir truva atını bırakmak için başlangıç noktası olarak bubi tuzaklı Excel elektronik tablolarını kullanan bir enfeksiyon zincirini detaylandırmasıyla geldi.

Şirket, "Bu, ikinci aşama yükleri indirmek ve güncel kalmak için Dropbox ve Google Dokümanlar'ı kullanan çok aşamalı bir truva atıdır" dedi. "Çalışan pencereleri ve tuş vuruşlarını izlemek için Windows'a bağlanan ve kayıt defteri anahtarlarını kullanarak kalıcılık oluşturan gizlenmiş bir VBA makrosu içerir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği