Yeni gözlemlenen bir kimlik avı kampanyası, daha önce belgelenmemiş bir arka kapıyı Windows sistemlerinde dağıtmak için yakın zamanda açıklanan Follina güvenlik açığından yararlanıyor.
Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Rozena, saldırganın makinesine uzak bir kabuk bağlantısı enjekte edebilen bir arka kapı kötü amaçlı yazılımıdır.” söz konusu bu hafta bir raporda.
CVE-2022-30190 olarak izlenen, şimdi yamalı Microsoft Windows Destek Tanılama Aracı (MSDT) uzaktan kod yürütme güvenlik açığı, Mayıs 2022’nin sonlarında ortaya çıktığından bu yana son haftalarda yoğun bir şekilde istismar edildi.
Fortinet tarafından gözlemlenen en son saldırı zincirinin başlangıç noktası, silahlı bir saldırıdır. Ofis belgesi bu, açıldığında bir HTML dosyasını almak için bir Discord CDN URL’sine bağlanır (“index.htm“) bu da, aynı CDN ek alanından sonraki aşama yüklerini indirmek için bir PowerShell komutu kullanarak tanılama yardımcı programını çağırır.
Buna Rozena implantı (“Word.exe”) ve MSDT işlemlerini sonlandırmak, Windows Kayıt Defteri değişikliği yoluyla arka kapının kalıcılığını sağlamak ve zararsız bir Word belgesini bir tuzak olarak indirmek için tasarlanmış bir toplu iş dosyası (“cd.bat”) dahildir. .
Kötü amaçlı yazılımın temel işlevi, saldırganın ana bilgisayarına bir ters kabuk başlatan kabuk kodunu enjekte etmektir (“microsofto.duckdns”[.]org”), sonuçta saldırganın bilgileri izlemek ve yakalamak için gereken sistemin kontrolünü ele geçirmesine izin verirken, aynı zamanda güvenliği ihlal edilen sisteme bir arka kapı sağlar.
Kötü amaçlı Word belgeleri aracılığıyla kötü amaçlı yazılım dağıtmak için Follina açığından yararlanılması, sosyal mühendislik saldırıları olarak karşımıza çıkıyor. güvenmek Emotet, QBot, IcedID ve Bumblebee gibi kötü amaçlı yazılımları bir kurbanın cihazına dağıtmak için Microsoft Excel, Windows kısayolu (LNK) ve ISO görüntü dosyalarında damlalık olarak.
Dropper’ların, doğrudan dropper’ı veya ek olarak parola korumalı bir ZIP’i, açıldığında damlalığı çıkaran bir HTML dosyası veya e-postanın gövdesinde damlalığı indirmek için bir bağlantı içeren e-postalar aracılığıyla dağıtıldığı söylenir.
Nisan ayı başlarında tespit edilen saldırılar belirgin bir şekilde XLM makrolu Excel dosyalarını içeriyor olsa da, Microsoft’un aynı zamanlarda makroları varsayılan olarak engelleme kararının, tehdit aktörlerini HTML kaçakçılığının yanı sıra .LNK ve .ISO dosyaları gibi alternatif yöntemlere yönelmeye zorladığı söyleniyor. .
Geçen ay Cyble, siber suçlu aktörleri kötü niyetli .LNK ve .ISO dosyaları oluşturma yetenekleriyle donatmak için yeraltı forumlarında satılan Quantum adlı bir kötü amaçlı yazılım aracının ayrıntılarını açıkladı.
şunu belirtmekte fayda var makrolar Fidye yazılımlarını ve diğer kötü amaçlı yazılımları, kimlik avı e-postaları veya başka yollarla Windows sistemlerine bırakmak isteyen düşmanlar için denenmiş ve test edilmiş bir saldırı vektörü olmuştur.
Microsoft o zamandan beri internetten indirilen dosyalarda Office makrolarını devre dışı bırakma planlarını geçici olarak durdurdu ve şirket The Hacker News’e “kullanılabilirliği artırmak için ek değişiklikler” yapmanın zaman aldığını söyledi.