UAC-0050 Grubu, Remcos RAT'ı Dağıtmak İçin Yeni Kimlik Avı Taktiklerini Kullanıyor

Uptycs güvenlik araştırmacıları Karthickkumar Kathiresan ve Shilpesh Trivedi Çarşamba günü yayınladıkları bir raporda, "Grubun tercih ettiği silah, casusluk cephaneliğinin ön saflarında yer alan, uzaktan gözetim ve kontrol için kötü şöhretli bir kötü amaçlı yazılım olan Remcos RAT'tır" dedi.

"Bununla birlikte, en son operasyonel dönüşlerinde, UAC-0050 grubu, gelişmiş uyarlanabilirliklerini sergileyen süreçler arası iletişim için bir boru yöntemi entegre etti."

2020'den beri aktif olan UAC-0050, alıcıları kötü amaçlı ekleri açmaları için kandırmak için meşru kuruluşların kimliğine bürünen sosyal mühendislik kampanyaları aracılığıyla Ukraynalı ve Polonyalı kuruluşları hedef alma geçmişine sahiptir.

Şubat 2023'te Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), saldırganı Remcos RAT'ı teslim etmek için tasarlanmış bir kimlik avı kampanyasına bağladı.

Geçtiğimiz birkaç ay boyunca, aynı truva atı en az üç farklı kimlik avı dalgasının bir parçası olarak dağıtıldı ve bu tür bir saldırı aynı zamanda Meduza Stealer adlı bir bilgi hırsızının konuşlandırılmasına yol açtı.

Uptycs'in analizi, 21 Aralık 2023'te keşfettiği bir LNK dosyasına dayanıyor. İlk erişim vektörü şu anda tam olarak bilinmemekle birlikte, İsrail Savunma Kuvvetleri'nde (IDF) danışmanlık rollerinin reklamını yaptığını iddia eden Ukraynalı askeri personeli hedef alan kimlik avı e-postalarını içerdiğinden şüpheleniliyor.

Söz konusu LNK dosyası, hedef bilgisayarda yüklü olan virüsten koruma ürünleriyle ilgili bilgileri toplar ve ardından HTA dosyalarını çalıştırmak için Windows'a özgü bir ikili dosya olan mshta.exe'yi kullanarak uzak bir sunucudan "6.hta" adlı bir HTML uygulamasını almaya ve yürütmeye devam eder.

Bu adım, etki alanından "word_update.exe" ve "ofer.docx" adlı iki dosyayı indirmek için başka bir PowerShell betiğini paketinden açan bir PowerShell betiğinin önünü açar new-tech-savvy[.] Com.

word_update.exe'yi çalıştırmak, fmTask_dbg.exe adıyla kendisinin bir kopyasını oluşturmasına ve Windows Başlangıç klasöründeki yeni yürütülebilir dosyaya bir kısayol oluşturarak kalıcılık sağlamasına neden olur.

İkili ayrıca.exe sistem verilerini ve çerezleri ve Internet Explorer gibi web tarayıcılarından oturum açma bilgilerini toplayabilen Remcos RAT'ın (sürüm 4.9.2 Pro) şifresini çözmek ve başlatmak için kendisi ile cmd için yeni ortaya çıkan bir alt işlem arasında veri alışverişini kolaylaştırmak için adsız kanallar kullanır.

Araştırmacılar, "Windows işletim sistemindeki borulardan yararlanmak, veri aktarımı için gizli bir kanal sağlıyor ve Uç Nokta Algılama ve Yanıt (EDR) ve antivirüs sistemleri tarafından tespit edilmekten ustaca kaçınıyor" dedi.

"Tamamen yeni olmasa da, bu teknik grubun stratejilerinin karmaşıklığında önemli bir sıçramaya işaret ediyor."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği