Kötü amaçlı yazılım sayesinde “tamamen saptanamayan” bir arka kapı gün ışığına çıkarıldı (yeni sekmede açılır) Operatörlerin umursamaz davranışları.
SafeBreach Labs’ten siber güvenlik araştırmacıları, düzgün bir şekilde yürütüldüğünde saldırganlara güvenliği ihlal edilmiş uç noktalara uzaktan erişim sağlayan yepyeni bir PowerShell arka kapısı tespit ettiklerini iddia ediyor. Saldırganlar oradan bilgi hırsızlarından fidye yazılımlarına kadar her türlü ikinci aşama saldırıyı başlatabilir. (yeni sekmede açılır)ve aradaki her şey.
Rapora göre, bilinmeyen bir tehdit aktörü, “ApplyForm” adlı silahlı bir Word belgesi oluşturdu.[.]belge”. Etkinleştirildiğinde bilinmeyen bir PowerShell betiği başlatan bir makro taşıyordu.
Topu komut dosyasıyla düşürmek
Araştırmacılar, “Makro updater.vbs’yi bırakır, bir Windows güncellemesinin parçası gibi görünen bir zamanlanmış görev oluşturur ve bu, updater.vbs komut dosyasını ‘%appdata%localMicrosoftWindows’ altındaki sahte bir güncelleme klasöründen yürütür,” diye açıkladı araştırmacılar. .
Updater.vbs daha sonra saldırgana uzaktan erişim sağlayacak bir PowerShell betiği çalıştırır.
Zamanlanmış görevi çalıştırmadan önce, kötü amaçlı yazılım iki PowerShell betiği oluşturur – Script.ps1 ve Temp.ps1. İçerik gizlenir ve Word dosyasının içindeki metin kutularına yerleştirilir ve ardından sahte güncelleme dizinine kaydedilir. Bu şekilde, virüsten koruma çözümleri dosyayı kötü amaçlı olarak tanımlayamaz.
Script.ps1, bir kurban kimliği atamak ve daha fazla talimat almak için komut ve kontrol sunucusuna ulaşır. Ardından, bilgileri depolayan ve komutları çalıştıran Temp.ps1 betiğini çalıştırır.
Saldırganların yaptığı hata, kurban kimliklerini tahmin edilebilir bir sırayla yayınlayarak araştırmacıların C2 sunucusuyla konuşmaları dinlemesine izin vermekti.
Saldırının arkasında kimin olduğu bir sır olarak kalsa da, kötü niyetli Word belgesi bu yılın Ağustos ayının sonlarında Ürdün’den yüklendi ve genellikle yeni iş fırsatları arayan kişilere ait olan yaklaşık yüz cihazı tehlikeye attı.
Bir okuyucu Kayıt (yeni sekmede açılır) arka kapıyla ilgili deneyimlerini anlatarak, bilinmeyen arka kapıların neden olabileceği hasarı azaltmak isteyen işletmelere tavsiyelerde bulundu.
“Bir MSP çalıştırıyorum ve 3 Ekim’de bu konuda uyarıldık. Müşteri 330 kişilik bir hayır kurumuydu ve bu sabah okuyana kadar onu bu özel makaleye bağlamadım.”
“Sıfır güvenleri var [ZT] ve Ringfencing yani makro çalışmasına rağmen Excel’in dışına çıkmadı” dediler. “Bunun gibi sıfır gün olaylarını durdurabileceğinden, bir ZT çözümünü kritik ortamlara dahil etmek için ince bir hatırlatma.”
Aracılığıyla: Kayıt (yeni sekmede açılır)