Siber Muhbir

Zscaler ThreatLabz'ın bir raporuna göre düşman, e-postalarda Hindistan Büyükelçisi'nden geldiği iddia edilen bir PDF dosyası kullandı ve diplomatik personeli 2 Şubat 2024'te bir şarap tadımı etkinliğine davet etti.

PDF belgesi, 30 Ocak 2024'te Letonya'dan VirusTotal'a yüklendi. Bununla birlikte, aynı ülkeden yüklenen benzer başka bir PDF dosyasının keşfedilmesinden yola çıkarak, bu kampanyanın en azından 6 Temmuz 2023'ten beri aktif olabileceğini gösteren kanıtlar var.

Güvenlik araştırmacıları Sudeep Singh ve Roy Tay, "Saldırı, çok düşük hacmi ve kötü amaçlı yazılım ve komuta ve kontrol (C2) altyapısında kullanılan gelişmiş taktikler, teknikler ve prosedürler (TTP'ler) ile karakterize ediliyor" dedi.

Yeni saldırının merkezinde, bir anket gibi görünen ve alıcıları katılmak için doldurmaya teşvik eden kötü amaçlı bir bağlantıyla gömülü olarak gelen PDF dosyası var. Bağlantıya tıklamak, aynı etki alanından WINELOADER taşıyan kodlanmış bir ZIP arşivini almak için gizlenmiş JavaScript kodu içeren bir HTML uygulamasının ("wine.hta") yolunu açar.

Kötü amaçlı yazılım, C2 sunucusundan modülleri yürütmek, kendisini başka bir dinamik bağlantı kitaplığına (DLL) enjekte etmek ve işaret istekleri arasındaki uyku aralığını güncellemek için tasarlanmış bir çekirdek modülle doludur.

Siber saldırıların dikkate değer bir yönü, C2 için güvenliği ihlal edilmiş web sitelerinin kullanılması ve ara yükleri barındırmasıdır. "C2 sunucusunun yalnızca belirli zamanlarda belirli türdeki isteklere yanıt verdiğinden" şüpheleniliyor ve bu nedenle saldırıları daha kaçamak hale getiriyor.

Araştırmacılar, "Tehdit aktörü, adli bilişim ve otomatik URL tarama çözümlerinden kaçarak tespit edilmeden kalmak için ek çaba sarf etti" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.