Saldırganlar, kötü amaçlı Excel ekleriyle silahlandırılan ve karmaşık kaçırma taktikleriyle karakterize edilen bir e-posta kampanyasında, casus yazılım dağıtmak için Microsoft Office’in 6 yıllık uzaktan kod yürütme (RCE) kusurundan yararlanıyor.
Tehdit aktörleri, aşağıdakileri içeren dosyaları teslim eden spam e-postalarda iş faaliyetleriyle ilgili tuzaklar sallıyor: CVE-2017-11882Zscaler, 2014 yılına dayanan ve sistemin ele geçirilmesine izin verebilecek bir RCE kusuru olduğunu açıkladı. Blog yazısı 19 Aralık’ta yayınlandı. Saldırının nihai hedefi Ajan Teslaİlk kez 2014’te keşfedilen bir uzaktan erişim Truva Atı (RAT) ve gelişmiş keylogger, saldırganlar tarafından çalıştırılan bir Telegram botu aracılığıyla virüslü bir sistemdeki kimlik bilgilerini ve diğer verileri sızdırıyor.
CVE-20170-11882, Microsoft Office’in Denklem Düzenleyicisi’nde bulunan bir bellek bozulması kusurudur. Bu kusurdan başarıyla yararlanan bir saldırgan, mevcut kullanıcının bağlamında rastgele kod çalıştırabilir ve hatta bir kullanıcı yönetici haklarıyla oturum açmışsa etkilenen sistemi ele geçirebilir. Güvenlik açığı uzun süredir yamalanmış olsa da, eski versiyonlar ile ilgili Microsoft Office hâlâ kullanımdaysa savunmasız olabilir.
Neredeyse on yıllık olmasına rağmen Ajan Tesla hâlâ ortak bir silah Saldırganlar tarafından kullanılan ve pano günlüğü tutma, ekran tuş günlüğü tutma, ekran yakalama ve farklı Web tarayıcılarından saklanan şifreleri çıkarma gibi özellikleri içerir.
Saldırı vektörü benzersizdir çünkü bir uzun süredir devam eden güvenlik açığı Zscaler kıdemli güvenlik araştırmacısı Kaivalya Khursale, gönderisinde, saldırganların enfeksiyon yöntemlerinde adaptasyon gösteren yeni karmaşıklık ve kaçınma taktiklerinin bu durumun “kuruluşların dijital ortamlarını korumak için gelişen siber tehditler konusunda güncel kalmasını zorunlu hale getirdiğini” belirtti.
E-posta Tabanlı Siber Saldırı: Tipik Yemler, Yeni Taktikler
Tehdit aktörlerinin kullandığı ilk enfeksiyon vektöründe kampanya olağandışı görünüyor sosyal mühendislikle tasarlanmış e-postalar “siparişler” ve “faturalar” gibi sözcüklerle dolu mesajlarda iş odaklı cazibeler var. Mesajlar, alıcılardan anında yanıt talep ederek bir aciliyet duygusu katıyor.
Ancak araştırmacılar, bir kullanıcı yemi yuttuktan sonra saldırı yönteminin alışılmadık bir yöne saptığını buldu. Açılış kötü amaçlı Excel eki Elektronik tablo uygulamasının güvenlik açığı bulunan bir sürümüyle yapılan bir saldırı, ek dosyalar gönderen kötü amaçlı bir hedefle iletişim başlatır; bunlardan ilki, 100 karakter uzunluğunda değişken adları kullanan, oldukça karmaşık hale getirilmiş bir VBS dosyasıdır. Khursale, bunun “analiz ve karartma işlemine bir karmaşıklık katmanı” eklediğini yazdı.
Bu dosya, sırayla kötü amaçlı bir JPG dosyasının indirilmesini başlatır ve ardından VBS dosyası, Base64 kodlu DLL’yi görüntü dosyasından alan, DLL’nin kodunu çözen ve kodu çözülen DLL’den kötü amaçlı prosedürleri yükleyen bir PowerShell yürütülebilir dosyasını çalıştırır.
PowerShell yüklendikten sonra başka bir yeni taktik daha var: Khursale, birincil işlevi genellikle kayıt defteri okuma-yazma işlemleriyle ilişkili olan RegAsm.exe dosyasını çalıştırdığını belirtti. Ancak saldırı bağlamında dosyanın amacının gerçek bir operasyon kisvesi altında kötü niyetli faaliyetler yürütmek olduğunu söyledi. Buradan DLL, Agent Tesla yükünü alır ve RegAsm sürecine bir iş parçacığı enjekte eder.
Ajan Tesla Kötü Amaçlı Yazılımı İş Başında
Bir kez konuşlandırıldığında, casus yazılım RAT, çok sayıda tarayıcıdan, posta istemcisinden ve FTP uygulamasından veri çalmaya ve bu verileri tehdit aktörleri tarafından kontrol edilen kötü amaçlı bir hedefe göndermeye devam ediyor. Ayrıca tüm tuş vuruşlarını izlemek ve kullanıcı tarafından kopyalanan verileri yakalamak için klavye ve pano kancalarını yerleştirmeye çalışır.
Özellikle Ajan Tesla, olay mesajlarını, fare olaylarını ve tuş vuruşlarını izlemek için kullanılan bir teknik olan pencere kancasını kullanıyor. Khursale, bir kullanıcı eylemde bulunduğunda, tehdit aktörünün işlevinin eylem gerçekleşmeden önce kesintiye uğradığını söyledi. Kötü amaçlı yazılım, sonuçta sızdırılan verileri tehdit aktörü tarafından kontrol edilen bir Telegram botuna gönderir.
Zscaler, blog gönderisine, sızma için kullanılan Telegram URL’lerinin bir listesi de dahil olmak üzere kapsamlı bir risk göstergeleri (IoC’ler) listesi ekledi; kötü amaçlı URL’ler; çeşitli kötü amaçlı Excel, VBS, JPG ve DLL dosyaları; ve kötü amaçlı yürütülebilir dosyalar — bir sistemin güvenliğinin ihlal edilip edilmediğini belirlemeye yardımcı olmak için. Gönderi aynı zamanda Ajan Tesla’nın kuruluşların tetikte kalmasına yardımcı olmak için kimlik bilgilerini çalmaya çalıştığı tarayıcıların, posta ve FTP istemcilerinin kapsamlı bir listesini de içeriyor.