Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. XWorm Kötü Amaçlı Yazılımları, Follina Güvenlik Açığından Yararlanıyor

XWorm Kötü Amaçlı Yazılımları, Follina Güvenlik Açığından Yararlanıyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
314 0
XWorm Kötü Amaçlı Yazılımları 2

Siber güvenlik araştırmacıları, XWorm kötü amaçlı yazılımları hedeflenen sistemlere ulaştırmak için benzersiz bir saldırı zinciri kullanan devam eden bir kimlik avı kampanyası keşfettiler.

#4CHAN adı altında faaliyet kümesini takip eden Securonix, saldırıların bir kısmının öncelikle Almanya’da bulunan imalat firmalarını ve sağlık kliniklerini hedef aldığını söyledi.

Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, Hacker News ile paylaşılan yeni bir analizde, “Saldırı kampanyası oldukça sıra dışı 4CHAN dolu PowerShell kodundan yararlanıyor, ardından kurbanlarını enfekte etmek için ağır bir şekilde gizlenmiş bir XWorm yükü izliyor” dedi.

Rapor, tehdit aktörünün rezervasyon temalı kurbanları XWorm kötü amaçlı yazılımları ve Ajan Tesla yükleri sağlayabilecek kötü amaçlı belgeler açmaya kandırmaya yönelik cazibelerini ortaya çıkaran Elastic Security Labs’ın son bulgularına dayanıyor.

Saldırılar, makro kullanmak yerine Follina güvenlik açığını silahlandıran sahte Microsoft Word belgelerini dağıtmak için kimlik avı saldırılarıyla başlar (CVE-2022-30190, CVSS puanı: 7.8), kafası karışmış bir PowerShell komut dosyasını düşürmek için.

Oradan, tehdit aktörleri, Kötü Amaçlı Yazılım Önleme Tarama Arabirimini (AMSI) atlamak, Microsoft Defender’ı devre dışı bırakmak, kalıcılık sağlamak ve nihayetinde XWorm içeren .NET ikili dosyasını başlatmak için PowerShell komut dosyasını kötüye kullanır.

XWorm kötü amaçlı yazılımları

İlginç bir şekilde, PowerShell senaryosundaki değişkenlerden biri, muhtemelen Hintli bir animasyon komedi macera televizyon dizisi olan Chhota Bheem’e atıfta bulunan “$ CHOTAbheem” olarak adlandırılıyor.

Araştırmacılar, Hacker News’e verdiği demeçte, “Hızlı bir kontrole dayanarak, saldırıdan sorumlu kişi veya grubun Orta Doğu / Hindistan geçmişine sahip olabileceği görülüyor, ancak nihai atıf henüz doğrulanmadı” dedi. bu tür anahtar kelimeler bir kapak olarak da kullanılabilir.

İlginizi Çekebilecek yazımız: Bl00dy Fidye Yazılımı, Kritik PaperCut Güvenlik Açığıyla Eğitim Sektörüne Saldırdı

XWorm, yeraltı forumlarında satışa sunulan ve virüslü ana bilgisayarlardan hassas bilgileri aktarmasına olanak tanıyan çok çeşitli özelliklerle birlikte gelen bir emtia kötü amaçlı yazılımıdır.

Kötü amaçlı yazılım aynı zamanda bir İsviçre çakısıdır, çünkü clipper, DDoS ve fidye yazılımı işlemlerini gerçekleştirebilir, USB üzerinden yayılabilir ve ek kötü amaçlı yazılımları bırakabilir.

Securonix, saldırı metodolojisinin geçmişte konaklama endüstrisine çarptığı gözlemlenen ta558’inkine benzer eserleri paylaştığını söylese de, tehdit aktörünün kesin kökenleri şu anda belirsiz.

Araştırmacılar, “Microsoft, makroları varsayılan olarak devre dışı bırakma kararını verdiğinden beri kimlik avı e-postaları nadiren Microsoft Office belgelerini kullanıyor olsa da, bugün, özellikle makrolardan VBScript yürütülmesinin olmadığı bu durumda, kötü amaçlı belge dosyaları konusunda uyanık olmanın hala önemli olduğunun kanıtını görüyoruz” dedi.

Haber Kaynağı: The Hacker News

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir