Yeni bir saldırı kampanyası başlatıldı BULUT#TERSİYECİ Kötü amaçlı yükleri düzenlemek için Google Drive ve Dropbox gibi meşru bulut depolama hizmetlerinden yararlandığı gözlemlendi.
Securonix araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, “CLOUD#REVERSER’deki VBScript ve PowerShell komut dosyaları, doğası gereği, dosya yükleme ve indirme işlemlerini yönetmek için Google Drive ve Dropbox’ı hazırlama platformları olarak kullanan komut ve kontrol benzeri etkinlikleri içerir.” söz konusu The Hacker News ile paylaşılan bir raporda.
“Komut dosyaları belirli kalıplarla eşleşen dosyaları getirmek üzere tasarlandı; bu da onların Google Drive veya Dropbox’a yerleştirilen komutları veya komut dosyalarını beklediklerini gösteriyor.”
Saldırı zincirinin başlangıç noktası, Microsoft Excel dosyası gibi görünen bir yürütülebilir dosya içeren ZIP arşiv dosyasını taşıyan bir kimlik avı e-postasıdır.
İlginç bir şekilde, dosya adı, dizede o karakterden sonra gelen karakterlerin sırasını tersine çevirmek için gizli sağdan sola geçersiz kılma (RLO) Unicode karakterini (U+202E) kullanır.
Sonuç olarak, dosya adı “RFQ-101432620247fl*U+202E*xslx.exe“Mağdura şu şekilde gösteriliyor”RFQ-101432620247flexe.xlsx,” diyerek onları bir Excel belgesi açtıklarını düşünerek aldatıyorlar.
Yürütülebilir dosya, sahte bir Excel dosyası (“20240416.xlsx”) ve XLSX dosyasının bilgisayara görüntülenmesinden sorumlu, oldukça karmaşık bir Visual Basic (VB) Komut Dosyası (“3156.vbs”) dahil olmak üzere toplam sekiz veri yükünü bırakacak şekilde tasarlanmıştır. Kullanıcının hileyi sürdürmesi ve “i4703.vbs” ve “i6050.vbs” adlı diğer iki komut dosyasını başlatması gerekir.
Her iki komut dosyası da, kırmızı bayrakların ortaya çıkmasını önlemek için bunları bir Google Chrome tarayıcı güncelleme görevi olarak maskeleyerek zamanlanmış bir görev aracılığıyla Windows ana bilgisayarında kalıcılığı ayarlamak için kullanılır. Bununla birlikte, zamanlanan görevler, her dakika “97468.tmp” ve “68904.tmp” adı verilen iki benzersiz VB komut dosyasını çalıştıracak şekilde düzenlenir.
Bu komut dosyalarının her biri, aktör tarafından kontrol edilen bir Dropbox ve Google Drive hesabına bağlanmak ve adı geçen iki PowerShell komut dosyasını daha indirmek için kullanılan “Tmp912.tmp” ve “Tmp703.tmp” adlı iki farklı PowerShell komut dosyasını çalıştırmak için kullanılır. “tmpdbx.ps1” ve “zz.ps1” olarak
VB komut dosyaları daha sonra yeni indirilen PowerShell komut dosyalarını çalıştıracak ve sistem politikalarına bağlı olarak yürütülebilecek ikili dosyalar da dahil olmak üzere bulut hizmetlerinden daha fazla dosya alacak şekilde yapılandırılır.
Araştırmacılar, “Son aşamadaki PowerShell betiği zz.ps1, Google Drive’dan dosyaları belirli kriterlere göre indirme ve bunları yerel sistemdeki ProgramData dizini içindeki belirli bir yola kaydetme işlevine sahiptir” dedi.
Her iki PowerShell betiğinin de anında indirilmesi, bunların tehdit aktörleri tarafından, tehlikeye atılan ana makinede indirilebilecek ve yürütülebilecek dosyaları belirlemek üzere isteyerek değiştirilebileceği anlamına gelir.
Ayrıca 68904.tmp aracılığıyla indirilen, saldırganın komuta ve kontrol (C2) sunucusuyla ağ bağlantısını sürdürmek için sıkıştırılmış bir ikili dosya indirip onu doğrudan bellekten çalıştırabilen başka bir PowerShell betiğidir.
Bu gelişme, tehdit aktörlerinin meşru hizmetleri kendi çıkarları doğrultusunda giderek daha fazla kötüye kullandığının ve gözden kaçtığının bir kez daha işaretidir.
Araştırmacılar, “Bu yaklaşım, tehdit aktörlerinin, arka plandaki normal ağ gürültüsüne karışmayı sürdürürken, tehlikeye atılmış sistemlere bulaşmayı ve bu sistemler üzerinde varlıklarını sürdürmeyi başardıkları ortak bir noktayı takip ediyor” dedi.
“Kötü amaçlı komut dosyalarını görünüşte zararsız bulut platformlarına yerleştirerek, kötü amaçlı yazılım yalnızca hedeflenen ortamlara sürekli erişim sağlamakla kalmıyor, aynı zamanda bu platformları veri sızdırma ve komut yürütme için kanal olarak kullanıyor.”