Pakistan’ı hedef alan saldırıların bir parçası olarak gizli bir arka kapı yükü sağlamak için vergi temalı yemlerin kullanıldığı yeni bir kimlik avı kampanyası gözlemlendi.
Etkinliği adı altında takip eden siber güvenlik şirketi Securonix AKı#KONSOLsaldırıyı başlatmak için kullanılan orijinal e-postayı elde edemediğini söylemesine rağmen, muhtemelen bir kimlik avı e-posta bağlantısı veya ekiyle başladığını söyledi.
Güvenlik araştırmacıları Den Iuzvyk ve Tim Peck, “Kampanyanın en dikkate değer yönlerinden biri, tehdit aktörlerinin daha fazla kötü amaçlı yük sağlamak üzere çift amaçlı bir yükleyici ve bırakıcıyı dağıtmak için MSC (Microsoft Ortak Konsol Belgesi) dosyalarından nasıl yararlandıklarıdır.” söz konusu.
Özel olarak hazırlanmış, yönetim tarafından kaydedilmiş konsol (MSC) dosyalarının kötü amaçlı kod yürütmek amacıyla kötüye kullanılmasına, Elastic Security Labs tarafından GrimResource kod adı verildiğini belirtmekte fayda var.
Başlangıç noktası, PDF dosyası gibi görünen (dosya uzantılarını görüntüleme ayarı devre dışıysa) çift uzantılı (.pdf.msc) bir dosyadır ve Microsoft Yönetim Konsolu (MMC) kullanılarak başlatıldığında yerleşik bir JavaScript kodunu yürütmek üzere tasarlanmıştır. ).
Bu kod, bir tuzak dosyasının alınmasından ve görüntülenmesinden ve ayrıca arka planda bir DLL dosyasının (“DismCore.dll”) gizlice yüklenmesinden sorumludur. Kampanyada kullanılan bu tür belgelerden biri, Pakistan Federal Gelir Kurulu (FBR) ile ilişkili meşru bir belge olan “Vergi İndirimleri, İndirimler ve Krediler 2024” olarak adlandırılmıştır.
Araştırmacılar, “.MSC dosyası, gömülü ve gizlenmiş bir dizeden gelen yükü iletmenin yanı sıra, uzaktaki bir HTML dosyasına ulaşarak ek kod çalıştırabiliyor ve bu da aynı amacı gerçekleştiriyor” dedi ve kalıcılığın, MSC kullanılarak oluşturulduğunu ekledi. zamanlanmış görevler.
Ana yük, uzak bir sunucuyla bağlantı kurabilen ve güvenliği ihlal edilmiş sistemlerden veri sızdırmak için sunucu tarafından gönderilen komutları yürütebilen bir arka kapıdır. Securonix, saldırının ilk enfeksiyondan 24 saat sonra kesintiye uğradığını söyledi.
Şu anda kötü amaçlı yazılım kampanyasının arkasında kimin olduğu belli değil, ancak Patchwork olarak bilinen tehdit aktörünün daha önce benzer bir yöntem kullandığı gözlemlenmişti. FBR’den vergiyle ilgili belge Aralık 2023’ün başlarında.
Araştırmacılar, “İlk aşamalarda kullanılan oldukça karmaşık JavaScript’ten DLL içindeki derinlemesine gizlenmiş kötü amaçlı yazılım koduna kadar, tüm saldırı zinciri, çağdaş kötü amaçlı kodun tespit edilmesi ve analiz edilmesinin karmaşıklığını örnekliyor” dedi.
“Bu kampanyanın bir diğer dikkate değer yönü, MSC dosyalarının, son birkaç yıldır tehdit aktörleri arasında popüler olan klasik LNK dosyasının potansiyel bir evrimi olarak kullanılmasıdır. LNK dosyaları gibi, bunlar da harmanlama sırasında kötü amaçlı kodların yürütülmesine izin veriyor meşru Windows yönetim iş akışlarına aktarın.”
