Siber Muhbir

NSFOCUS tarafından 1 Temmuz 2024'te tespit edilen saldırı kampanyası, Azeri ve İsrailli diplomatları ayırmak için hedef odaklı kimlik avı e-postalarından yararlandı. Etkinlik, Actor240524 takma adı altında izleniyor.

Siber güvenlik şirketi geçen hafta yayınlanan bir analizde, "Actor240524, saldırı taktiklerinin ve tekniklerinin aşırı maruz kalmasını önlemek için çeşitli karşı önlemler kullanarak sırları çalma ve dosya verilerini değiştirme yeteneğine sahip" dedi.

Saldırı zincirleri, açıldıktan sonra alıcıları "İçeriği Etkinleştirmeye" ve ABCloader ("MicrosoftWordUpdater.log") kod adlı bir ara yükleyici yükünü yürütmekten sorumlu kötü amaçlı bir makroyu çalıştırmaya teşvik eden Microsoft Word belgelerini taşıyan kimlik avı e-postalarının kullanılmasıyla başlar.

Bir sonraki adımda, ABCloader, ABCsync ("synchronize.dll") adlı bir DLL kötü amaçlı yazılımının şifresini çözmek ve yüklemek için bir kanal görevi görür ve daha sonra uzak bir sunucuyla iletişim kurar ("185.23.253[.] 143") komutları almak ve çalıştırmak için.

NSFOCUS, "Ana işlevi, çalışma ortamını belirlemek, programın şifresini çözmek ve sonraki DLL'yi (ABCsync) yüklemektir" dedi. "Daha sonra çevresel algılama için çeşitli anti-sandbox ve anti-analiz teknikleri uygular."

ABCsync'in öne çıkan işlevlerinden bazıları, uzak kabukları yürütmek, cmd.exe kullanarak komutları çalıştırmak ve sistem bilgilerini ve diğer verileri sızdırmaktır.

Hem ABCloader hem de ABCsync'in önemli dosya yollarını, dosya adlarını, anahtarları, hata mesajlarını ve komut ve kontrol (C2) adreslerini gizlemek için dize şifreleme gibi teknikler kullandığı gözlemlenmiştir. Ayrıca, ekran çözünürlüğünü doğrulayarak işlemlerin bir sanal makinede veya sanal alanda hata ayıklanıp ayıklanmadığını veya yürütülüp yürütülmediğini belirlemek için çeşitli kontroller gerçekleştirirler.

Actor240524 tarafından atılan bir diğer önemli adım, güvenliği ihlal edilmiş sistemde çalışan işlem sayısının 200'den az olup olmadığını incelemesi ve eğer öyleyse kötü amaçlı işlemden çıkmasıdır.

ABCloader ayrıca, ana bilgisayarda kalıcılık ayarlayabilen "synchronize.exe" adlı benzer bir yükleyici ve "vcruntime190.dll" veya "vcruntime220.dll" adlı bir DLL dosyasını başlatmak için tasarlanmıştır.

NSFOCUS, "Azerbaycan ve İsrail, yakın ekonomik ve siyasi alışverişlere sahip müttefik ülkelerdir" dedi. "Actor240524'ün bu seferki operasyonu muhtemelen iki ülke arasındaki işbirliğine dayalı ilişkiyi hedefliyor ve her iki ülkenin diplomatik personeline yönelik kimlik avı saldırılarını hedef alıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.