Tayland hükümet yetkilileri, adı verilen bir teknikten yararlanan yeni bir kampanyanın hedefi olarak ortaya çıktı. DLL yandan yükleme adı verilen, önceden belgelenmemiş bir arka kapıyı teslim etmek Yokai.
Netskope’un Güvenlik Etkinliği ekibinin kıdemli mühendisi Nikhil Hegde, The Hacker News’e şunları söyledi: “Tehdit aktörlerinin hedefi, yemlerin niteliğine göre Taylandlı yetkililerdi.” “Yokai arka kapısının kendisi sınırlı değildir ve herhangi bir potansiyel hedefe karşı kullanılabilir.”
saldırı zincirinin başlangıç noktası Tay dilinde “Amerika Birleşik Devletleri Adalet Bakanlığı.pdf” ve “Amerika Birleşik Devletleri hükümeti cezai konularda uluslararası işbirliği talep etmektedir.docx” anlamına gelen iki Windows kısayol dosyasını içeren bir RAR arşividir.
Yükü iletmek için kullanılan tam başlangıç vektörü şu anda bilinmiyor, ancak Hegde, kullanılan tuzaklar ve RAR dosyalarının kimlik avı e-postalarında kötü amaçlı eklentiler olarak kullanılması nedeniyle bunun muhtemelen hedef odaklı kimlik avı olabileceğini tahmin etti.
Kısayol dosyalarının başlatılması, sırasıyla sahte bir PDF ve Microsoft Word belgesinin açılmasına neden olurken aynı zamanda kötü amaçlı bir yürütülebilir dosyanın gizlice arka planda bırakılmasına neden olur. Her iki yem dosyası da aşağıdakilerle ilgilidir: Woravit MektrakarnMeksikalı bir göçmenin ortadan kaybolmasıyla bağlantılı olarak ABD’de aranan bir Tayland vatandaşı. Mektrakarn’ın 2003 yılında cinayetle suçlandığı ve Tayland’a kaçtığı söyleniyor.
Yürütülebilir dosya, üç dosyayı daha bırakacak şekilde tasarlanmıştır: iTop Veri Kurtarma uygulaması (“IdrInit.exe”) ile ilişkili yasal bir ikili dosya, kötü amaçlı bir DLL (“ProductStatistics3.dll”) ve bilgi içeren bir DATA dosyası saldırgan tarafından kontrol edilen bir sunucu tarafından gönderilir. Bir sonraki aşamada “IdrInit.exe” kötüye kullanılıyor DLL’yi yandan yüklesonuçta arka kapının konuşlandırılmasına yol açar.
Yokai, ana bilgisayarda kalıcılığın ayarlanmasından ve cmd.exe’nin oluşturulmasına ve ana bilgisayarda kabuk komutlarının yürütülmesine olanak tanıyan komut kodlarını almak için komut ve kontrol (C2) sunucusuna bağlanmaktan sorumludur.
Bu gelişme, Zscaler ThreatLabz’ın, XMRig, Lumma ve Phemedrone Stealer gibi kripto para birimi madencilerini ve bilgi çalan programları dağıtmak için Windows için Node.js ile derlenmiş yürütülebilir dosyalardan yararlanan bir kötü amaçlı yazılım kampanyası keşfettiğini açıklamasının ardından geldi. Hileli uygulamaların kod adı NodeLoader’dır.
Saldırılar, YouTube video açıklamalarına yerleştirilmiş kötü amaçlı bağlantılar kullanarak kullanıcıları MediaFire’a veya video oyunu hack’leri gibi görünen bir ZIP arşivini indirmeye teşvik eden sahte web sitelerine yönlendiriyor. Saldırıların nihai hedefi, NodeLoader’ı çıkarıp çalıştırmaktır; NodeLoader, son aşamadaki kötü amaçlı yazılımın başlatılmasından sorumlu bir PowerShell betiğini indirir.
Zscaler, “NodeLoader, ayrıcalık yükseltme için GitHub ve npm’de herkese açık bir araç olan sudo-prompt adlı bir modülü kullanıyor.” söz konusu. “Tehdit aktörleri, NodeLoader’ı tespit edilmeden sunmak için sosyal mühendislik ve kaçırma önleme tekniklerini kullanıyor.”
Bu aynı zamanda, ticari olarak temin edilebilen Remcos RAT’ı dağıtan kimlik avı saldırılarında yaşanan ani artışın da ardından geliyor; tehdit aktörleri, çok aşamalı süreci tetiklemek için Visual Basic Komut Dosyası (VBS) komut dosyalarını ve Office Açık XML belgelerini bir başlatma paneli olarak kullanarak enfeksiyon zincirlerine yeni bir görünüm kazandırıyor.
Bir dizi saldırıda, VBS dosyasının çalıştırılması, geçici yükleri indiren oldukça karmaşık bir PowerShell betiğine yol açıyor ve sonuçta Remcos RAT’ın yasal bir Microsoft .NET yürütülebilir dosyası olan RegAsm.exe’ye enjekte edilmesiyle sonuçlanıyor.
Diğer değişken, Microsoft Denklem Düzenleyicisi’nde bilinen bir uzaktan kod yürütme kusuru olan CVE-2017-11882’ye duyarlı bir RTF dosyasını yüklemek için bir Office Açık XML belgesinin kullanılmasını ve daha sonra enjekte etmek üzere PowerShell’i getirmeye devam eden bir VBS dosyasını getirmeyi gerektirir. Remcos yükü RegAsm.exe belleğine yüklenir.
Her iki yöntemin de dosyaları diske yazmaktan kaçındığını ve güvenlik ürünleri tarafından tespit edilmekten kaçınmak için kasıtlı bir girişimle bunları geçerli işlemlere yüklediğini belirtmekte fayda var.
McAfee Labs araştırmacıları, “Bu uzaktan erişim truva atı, kimlik avı e-postaları ve kötü amaçlı ekler yoluyla tüketicileri hedeflemeye devam ederken, proaktif siber güvenlik önlemlerine duyulan ihtiyaç hiç bu kadar kritik olmamıştı.” söz konusu.