.png)
Nim Tabanlı Kötü Amaçlı Yazılım Dağıtmak İçin Kullanılan Microsoft Word Belgelerini Tuzağa Düşürme
Yeni bir kimlik avı kampanyası, Nim programlama dilinde yazılmış bir arka kapı sunmak için yem olarak sahte Microsoft Word belgelerinden yararlanıyor.
Netskope araştırmacıları Ghanashyam Satpathy ve Jan Michael Alcantara, "Alışılmadık programlama dillerinde yazılmış kötü amaçlı yazılımlar, araştırmacıların ve tersine mühendislerin yabancılığı araştırmalarını engelleyebileceğinden, güvenlik topluluğunu dezavantajlı hale getiriyor" dedi.
Nim tabanlı kötü amaçlı yazılımlar, tehdit ortamında nadir görülen bir durumdur, ancak saldırganlar dili kullanarak sıfırdan özel araçlar geliştirmeye veya kötü niyetli programlarının mevcut sürümlerini ona taşımaya devam ettikçe bu durum son yıllarda yavaş yavaş değişmektedir.
Bu, NimzaLoader, Nimbda, IceXLoader gibi yükleyicilerin yanı sıra Dark Power ve Kanti adları altında izlenen fidye yazılımı aileleri söz konusu olduğunda kanıtlanmıştır.
Netüse tarafından belgelenen saldırı zinciri, açıldığında alıcıyı Nim kötü amaçlı yazılımının dağıtımını etkinleştirmek için makroları etkinleştirmeye teşvik eden bir Word belgesi eki içeren bir kimlik avı e-postasıyla başlar. E-postayı gönderen kişi, Nepalli bir hükümet yetkilisi kılığına girer.
İmplant bir kez başlatıldıktan sonra, virüslü konakta bilinen analiz araçlarının varlığını belirlemek için çalışan süreçleri numaralandırmaktan sorumludur ve bir tane bulması durumunda derhal kendini sonlandırır.
Aksi takdirde, arka kapı, Ulusal Bilgi Teknolojileri Merkezi (NITC) dahil olmak üzere Nepal'deki bir devlet etki alanını taklit eden uzak bir sunucuyla bağlantı kurar ve daha fazla talimat bekler. Komuta ve kontrol (C2) sunucularına artık erişilemiyor -
- mail[.]mofa[.]govnp[.]org
- nitc[.]govnp[.]org
- mx1[.]nepal[.]govnp[.]org
- dns[.]govnp[.]org
Araştırmacılar, "Nim, statik olarak yazılmış derlenmiş bir programlama dilidir" dedi. "Tanıdık sözdiziminin yanı sıra, çapraz derleme özellikleri, saldırganların bir kötü amaçlı yazılım varyantı yazmasına ve farklı platformları hedeflemek için çapraz derlenmesine olanak tanıyor."
Açıklama, Cyble'ın, aktörler tarafından kontrol edilen bir Telegram kanalı aracılığıyla değerli verileri toplamak ve sızdırmak için tasarlanmış Editbot Stealer adlı yeni bir Python tabanlı hırsız kötü amaçlı yazılımı sunmak için sosyal medya platformlarındaki mesajlardan yararlanan bir sosyal mühendislik kampanyasını ortaya çıkarmasıyla geldi.
.png)
Tehdit aktörleri yeni kötü amaçlı yazılım türlerini deniyor olsa bile, kimlik avı kampanyalarının DarkGate ve NetSupport RAT gibi bilinen kötü amaçlı yazılımları e-posta yoluyla dağıttığı ve özellikle BattleRoyal adlı bir kümeden gelenler olmak üzere sahte güncelleme tuzakları (diğer adıyla RogueRaticate) ile güvenliği ihlal edilmiş web siteleri olduğu gözlemlendi.
Kurumsal güvenlik firması Proofpoint, bu ayın başlarında NetSupport RAT'a geçmeden önce Eylül ve Kasım 2023 arasında DarkGate kötü amaçlı yazılımı kullanan en az 20 kampanya belirlediğini söyledi.
Ekim 2023'ün başlarında tespit edilen bir saldırı dizisi, özellikle kriterlerini karşılayan kurbanları filtrelemek ve Microsoft tarafından Kasım 2023'te ele alınan yüksek önem derecesine sahip bir Windows SmartScreen güvenlik atlaması olan CVE-2023-36025'ten (CVSS puanı: 8.8) yararlanan bir yükü barındıran aktör tarafından işletilen bir etki alanına yönlendirmek için iki trafik dağıtım sistemini (TDS'ler) (404 TDS ve Keitaro TDS) zincirlemesiyle öne çıkıyor.
Bu, BattleRoyal'in bu güvenlik açığını, teknoloji devi tarafından kamuya açıklanmadan bir ay önce sıfır gün olarak silahlandırdığı anlamına geliyor.
DarkGate, bilgi çalmak ve ek kötü amaçlı yazılım yükleri indirmek için tasarlanırken, iyi niyetli bir uzaktan yönetim aracı olarak başlayan NetSupport RAT, kötü niyetli aktörler tarafından sistemlere sızmak ve sınırsız uzaktan kumanda kurmak için kullanılan güçlü bir silaha dönüştü.
Proofpoint, "Siber suçlu tehdit aktörleri, kötü amaçlı yazılım dağıtımını sağlamak için çeşitli TDS araçlarının kullanımı da dahil olmak üzere yeni, çeşitli ve giderek daha yaratıcı saldırı zincirlerini benimsiyor" dedi.
"Ek olarak, hem e-posta hem de sahte güncelleme tuzaklarının kullanılması, aktörün, kullanıcıların son yükü yüklemesini sağlamak için birden fazla sosyal mühendislik tekniği kullandığını gösteriyor."
DarkGate, her ikisinin de AsyncRAT, NetSupport, IcedID, PikaBot ve QakBot (diğer adıyla Qbot) dahil olmak üzere çeşitli kötü amaçlı yazılımları yaydığı bilinen TA571 ve TA577 gibi diğer tehdit aktörleri tarafından da kullanılmaya başlandı.
Proofpoint'te kıdemli tehdit istihbaratı analisti olan Selena Larson, The Hacker News'e verdiği demeçte, "Örneğin, en önde gelen Qbot distribütörlerinden biri olan TA577, DarkGate kötü amaçlı yazılımını teslim etmek için Eylül ayında e-posta tehdit verilerine geri döndü ve o zamandan beri PikaBot'u tipik olarak on binlerce mesaj içeren kampanyalarda teslim ettiği gözlemlendi" dedi.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı