Rust tabanlı enjektör Freeze[.]rs, uç nokta algılama ve yanıtını (EDR) atlatan kötü amaçlı bir PDF dosyası içeren karmaşık bir kimlik avı kampanyasıyla, hedeflere bir dizi kötü amaçlı yazılım bulaştırmak için silah haline getirildi.
İlk olarak Temmuz ayında Fortinet'in FortiGuard Laboratuvarları tarafından keşfedilen kampanya, özel kimyasal veya endüstriyel ürün tedarikçileri de dahil olmak üzere Avrupa ve Kuzey Amerika'daki mağdurları hedefliyor.
Firmanın yaptığı bir analize göre bu zincir, sonunda XWorm kötü amaçlı yazılımının yüklenmesiyle komuta ve kontrol (C2) sunucusuyla iletişim kurulmasıyla sonuçlanıyor. XWorm, fidye yazılımı yüklemekten kalıcı bir arka kapı görevi görmeye kadar çok çeşitli işlevleri gerçekleştirebilir.
Diğer açıklamalar, Discord topluluk sohbet platformu aracılığıyla kötü amaçlı yazılım ailelerini dağıtmak için sıklıkla kullanılan bir araç olan SYK Crypter'ın da dahil olduğunu ortaya çıkardı. Bu şifreleyici yüklemede rol oynadı Remcos, gelişmiş bir uzaktan erişim Truva Atı (RAT) Windows cihazlarını kontrol etme ve izleme konusunda uzman.
EDR'yi Buza koymak: Freeze[.]rs Saldırı Zincirinin Başlığı Altında
Ekibin yaptığı araştırmada, kodlanmış algoritmalar ve API adları üzerinde yapılan analiz, bu yeni enjektörün kökeninin, EDR güvenlik önlemlerini aşabilen yükleri işlemek için özel olarak tasarlanan Red Team aracı "Freeze.rs"a dayandığını ortaya çıkardı.
Şirketin blog yazısı şöyle: "Bu dosya bir HTML dosyasına yönlendiriyor ve uzak sunucudaki bir LNK dosyasına erişmek için 'search-ms' protokolünü kullanıyor." açıkladı. "LNK dosyasına tıklandığında, bir PowerShell betiği daha fazla saldırı eylemi için Freeze[.]rs ve SYK Crypter'ı çalıştırıyor."
FortiGuard Labs araştırmacısı Cara Lin, Freeze[.]rs enjektörünün, çekirdek kodunu enjekte etmek için NT sistem çağrılarını çağırdığını ve Kernel base dll'de bulunan ve bağımlı olabilecek standart çağrıları atladığını açıklıyor.
"Bir EDR'nin bir süreç içinde sistem DLL'lerinin montajını değiştirmeye ve değiştirmeye başlamasından önce meydana gelen hafif gecikmeyi kullanıyorlar" diyor. "Bir işlem askıya alınmış durumda oluşturulursa, minimum düzeyde DLL yüklü olur ve EDR'ye özgü DLL yüklenmez; bu da Ntdll.dll içindeki sistem çağrılarının değişmeden kaldığını gösterir."
Lin, saldırı zincirinin, yükü iletmek için "arama-ms" protokolüyle birlikte çalışan bubi tuzaklı bir PDF dosyası aracılığıyla başlatıldığını açıklıyor.
Bu JavaScript kodu, uzak bir sunucuda bulunan LNK dosyasını ortaya çıkarmak için "search-ms" işlevini kullandı.
“Search-ms” protokolü, kullanıcıları Windows Gezgini Penceresi aracılığıyla uzak bir sunucuya yönlendirebilir.
"PDF simgesi olarak gizlenen yanıltıcı bir LNK dosyasının kullanılması yoluyla, mağdurları dosyanın kendi sistemlerinden geldiğine ve meşru olduğuna inandırarak aldatabilir" diye belirtiyor.
Bu arada, "SYK Crypter kalıcılık sağlamak için kendisini Başlangıç klasörüne kopyalar, kodlama sırasında yapılandırmayı şifreler ve yürütme sonrasında şifresini çözer ve ayrıca kaynaktaki sıkıştırılmış veriyi gizleme amacıyla şifreler" diye ekliyor.
İlk katmanda kodlamanın yanı sıra bir indirici kullanılır ve ardından ikinci katman, dize gizlemeyi ve yük şifrelemeyi içerir.
"Bu çok katmanlı strateji, statik analizin karmaşıklığını ve zorluğunu artırmak için tasarlandı" diyor. “Son olarak belirli bir güvenlik sağlayıcısını tanıyarak kendisini sonlandırabilir.”
Artan Kimlik Avı Riskine Karşı Nasıl Savunma Yapılır?
Kimlik avı ve diğer mesajlaşma tabanlı saldırılar yaygın bir tehdit olmaya devam ediyorŞirketlerin %97'si son 12 ayda en az bir e-posta kimlik avı saldırısı gördü ve firmaların dörtte üçü e-posta tabanlı bir saldırıdan önemli maliyetler bekliyor.
Kimlik avı saldırıları daha akıllı hale geliyor ve daha hedefli hale geliyor, yeni teknolojiye ve kullanıcı davranışına uyum sağlıyor, mobil istismarları, marka kimliğine bürünmeyi ve yapay zeka tarafından oluşturulan içeriği içerecek şekilde gelişiyor.
Araştırma, riskleri azaltmak için güncel yazılım tutmanın, düzenli eğitim sağlamanın ve gelişen kimlik avı saldırılarına karşı savunma amaçlı gelişmiş güvenlik araçları kullanmanın hayati önem taşıdığını belirtiyor.
Çalışanlara yönelik kimlik avı simülasyonu eğitimi kritik altyapı kuruluşlarında daha iyi çalışıyor gibi görünüyor Yeni araştırmalar, çalışanların %66'sının bir yıllık eğitim içinde en az bir gerçek kötü amaçlı e-posta saldırısını doğru şekilde bildirdiğini, diğer sektörlerde olduğundan daha fazla olduğunu ortaya çıkardı.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure
- :vardır
- :dır-dir
- 12
- 7
- a
- erişim
- karşısında
- oyunculuk
- eylemler
- Ekler
- ileri
- karşı
- algoritmalar
- yanında
- Ayrıca
- Amerika
- an
- analiz
- ve
- api
- ARE
- etrafında
- AS
- Montaj
- At
- saldırı
- saldırılar
- Arka
- arka kapı
- baz
- BE
- olmuştur
- önce
- davranış
- inanan
- Daha iyi
- Blog
- marka
- by
- aramalar
- Kampanya
- CAN
- yetenekli
- taşımak
- zincir
- meydan okuma
- kimyasal
- kod
- Yakın İletişim
- topluluk
- Şirketler
- şirket
- karmaşıklık
- yapılandırma
- içerik
- kontrol
- maliyetler
- sayaç
- çevrimiçi kurslar düzenliyorlar.
- kritik
- Kritik altyapı
- çok önemli
- geciktirmek
- teslim etmek
- tasarlanmış
- Bulma
- Cihaz
- anlaşmazlık
- keşfetti
- dağıtmak
- yok
- sırasında
- E-posta
- çalışanların
- şifreleme
- Son nokta
- artırmak
- kurulması
- AVRUPA
- gelişen
- çalıştırır
- infaz
- bekliyoruz
- açıklar
- patlatır
- kâşif
- aileleri
- fileto
- Nihayet
- Firma
- firmalar
- Ad
- İçin
- Fortinet
- bulundu
- Dondurmak
- sık sık
- itibaren
- işlevsellik
- fonksiyonlar
- daha fazla
- alma
- başlık
- HTML
- HTTPS
- ICE
- ICON
- if
- in
- dahil
- Dahil olmak üzere
- Sanayi
- Altyapı
- başlatılan
- enjekte etmek
- içine
- tanıtmak
- soruşturma
- tutulum
- IT
- ONUN
- kendisi
- JavaScript
- jpg
- Temmuz
- Labs
- tabaka
- en az
- meşru
- lin
- yükleme
- bulunan
- korumak
- kötü amaçlı yazılım
- Mayıs..
- önlemler
- en az
- Azaltmak
- Telefon
- izleme
- ay
- Daha
- çok katmanlı
- isimleri
- yeni
- yok hayır
- Kuzey
- Kuzey Amerika
- notlar
- roman
- of
- saldırgan
- on
- ONE
- or
- köken
- Diğer
- dışarı
- kendi
- geçmiş
- sebat
- Kimlik avı
- Kimlik avı saldırısı
- kimlik avı saldırıları
- kimlik avı kampanyası
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- oynandı
- Çivi
- PowerShell
- süreç
- PLATFORM
- protokol
- sağlamak
- menzil
- fidye
- SIÇAN
- gerçek
- tanıma
- Kırmızı
- yönlendirme
- düzenli
- kalmak
- uzak
- uzaktan erişim
- Raporlama
- araştırma
- araştırmacı
- yanıt
- açığa vurmak
- Açığa
- riskler
- Rol
- s
- diyor
- İkinci
- Sektörler
- güvenlik
- Güvenlik Önlemleri
- görme
- o
- önemli
- simülasyon
- akıllı
- Yazılım
- sofistike
- Uzmanlık
- özel
- standart
- başlar
- başlangıç
- Eyalet
- Stratejileri
- dizi
- Daha sonra
- tedarikçileri
- asma
- sistem
- Hedeflenen
- hedefleme
- hedefler
- takım
- Teknoloji
- göre
- o
- The
- ve bazı Asya
- onlar
- Re-Tweet
- Bu
- tehdit
- İçinden
- için
- birlikte
- araç
- araçlar
- Eğitim
- Truva
- altında
- açıkladı
- aktüel
- üzerine
- kullanım
- kullanıcı
- kullanıcılar
- kullanılan
- kullanır
- satıcı
- üzerinden
- kurbanlar
- hangi
- geniş
- Geniş ürün yelpazesi
- pencere
- pencereler
- ile
- içinde
- İş
- çalışır
- yıl
- zefirnet
