Bilgisayar Korsanları Artık Algılamadan Kurtulmak İçin Görüntülerde ObliqueRAT Yükünü Gizliyor

Siber suçlular artık virüs bulaşmış web sitelerinde barındırılan görünüşte zararsız görüntüler kisvesi altında uzaktan erişim Truva atları (ObliqueRAT ) kullanıyorlar ve bir kez daha tehdit aktörlerinin saldırı yöntemleri keşfedildiğinde ve kamuya açık bir şekilde ifşa edildiğinde taktikleri nasıl hızla değiştirdiğini vurguluyor.

Cisco Talos tarafından yayınlanan yeni araştırma, ObliqueRAT adıyla giden bir RAT yaymak için makrolarla dövülmüş zararlı Microsoft Office belgelerini kullanan Güney Asya’daki kuruluşları hedefleyen yeni bir zararlı yazılım kampanyasını ortaya koyuyor.

İlk olarak Şubat 2020’de belgelenen kötü amaçlı yazılımın, Pakistan kökenli olduğu iddia edilen oldukça üretken bir grup olan Transparent Tribe (diğer adıyla Operation C-Major, Mythic Leopard veya APT36) olarak izlenen bir tehdit aktörü ile bağlantısı vardı . ülkenin yanı sıra Hindistan’daki askeri ve hükümet personeli.

ObliqueRAT modus operandi daha önce CrimsonRAT’ı yaymak için Aralık 2019’da başka bir Transparent Tribe kampanyasıyla örtüşürken, yeni saldırı dalgası iki önemli yönden farklılık gösteriyor.

RAT yükünü indirmek ve dağıtmak için tamamen farklı bir makro kodu kullanmanın yanı sıra, kampanyanın operatörleri kötü amaçlı yazılımı bir düşman ağındaki görünüşte zararsız bitmap görüntü dosyalarında (.BMP dosyaları) gizleyerek teslim mekanizmasını da güncellediler. kontrollü web siteleri.

Talos araştırmacısı Asheer Malhotra, “Maldoc’un başka bir örneği de benzer bir teknik kullanıyor, aradaki fark, tehlikeye atılan web sitesinde barındırılan yükün ObliqueRAT yükünü içeren bir ZIP dosyası içeren bir BMP görüntüsü olmasıdır” dedi . “Kötü amaçlı makrolar, ZIP’i ve ardından uç noktadaki ObliqueRAT yükünü çıkarmaktan sorumludur.”

Enfeksiyon zincirinden bağımsız olarak amaç, kurbanları silah haline getirilmiş belgeleri içeren e-postaları açmaları için kandırmaktır; bu, açıldıktan sonra kurbanları kötü amaçlı URL’ler aracılığıyla ObliqueRAT yüküne (Kasım 2020 itibarıyla sürüm 6.3.5) yönlendirir ve nihayetinde hassas verileri hedef sistem.

Ancak yükseltme alan sadece dağıtım zinciri değil. ObliqueRAT’ın keşfinden bu yana en az dört farklı sürümü keşfedildi; Talos’un şüphelendiği gibi, muhtemelen önceki kamuya açıklamalarına yanıt olarak yapılan değişiklikler, aynı zamanda bir ekran görüntüsü ve web kamerası kayıt özelliklerini içerecek şekilde bilgi çalma yeteneklerini genişletiyor ve keyfi komutlar uyguluyor.

Kötü amaçlı yükleri dağıtmak için steganografinin kullanımı, saldırıya uğramış web sitelerinin kötü amaçlı yazılım barındırmak için kötüye kullanılması gibi yeni değildir.

Haziran 2020’de, Magecart gruplarının daha önce bir web sitesinin favicon görüntüsü için EXIF ​​meta verilerinde web skimmer kodunu gizlediği bulundu . Bu haftanın başlarında, Sophos’tan araştırmacılar, kullanıcıları meşru ancak güvenliği ihlal edilmiş web sitelerindeki sahte sayfalara yönlendirerek kötü amaçlı yazılımlara bulaştırma umuduyla Arama Motoru Optimizasyonu (SEO) zehirlenmesinden yararlanan bir Gootkit kampanyasını ortaya çıkardılar .

Ancak, kullanıcıları görüntü dosyalarında gizlenmiş kötü amaçlı yazılımlara yönlendirmek için zehirli belgeleri kullanma tekniği, çok fazla inceleme çekmeden gözden kaçmak ve radarın altında kalmak amacıyla bulaşma yeteneklerinde bir değişiklik sunar.

Araştırmacılar, “Bu yeni kampanya, düşmanların ifşalara nasıl tepki verdiklerinin ve tespitlerden kaçmak için enfeksiyon zincirlerini nasıl geliştirdiklerinin tipik bir örneğidir” dedi. “ObliqueRAT yüklerindeki değişiklikler ayrıca, geleneksel imza tabanlı algılama mekanizmalarından kaçınmak için kullanılabilecek gizleme tekniklerinin kullanımını da vurguluyor.”

Kaynak : thehackernews.com

>> Diğer Haberler İçin Tıklayınız

En son haberler

İlgili haberler