- Katılım
- 21 Şubat 2021
- Mesajlar
- 432
- Tepkime puanı
- 25
Kuzey Koreli Hackerlar, Kuzey Koreli HackerlarTalyum APT37 aka bu hafta yayınlanan bir rapora göre, bir yazılım tedarik zinciri saldırıda özel stok yatırım haberci hizmetinin kullanıcıları hedef almıştır. Şimdiye kadar grup , kurbanlarını hedef almak için Microsoft Office belgeleri gibi kimlik avı saldırılarına dayanıyordu.
Talyum artık, yatırımcıları avlamak için bozuk Windows yükleyicileri ve makro yüklü Office belgeleri göndermek gibi birçok yoldan yararlanıyor.
Kuzey Koreli Hackerlar, Bu hafta, ESTsecurity Güvenlik Yanıt Merkezi (ESRC), Kuzey Koreli bilgisayar korsanlarının kötü niyetli kod göndermek için özel bir hisse senedi yatırım mesajlaşma uygulamasını değiştirdiğini bildirdi.
Thallium olarak bilinen grup , Microsoft Windows için popüler bir komut dosyası ile çalışan yükleyici yazma aracı olan Nullsoft Scriptable Install System (NSIS) kullanarak bir Windows yürütülebilir dosyası üretti. Yürütülebilir dosya, yasal bir hisse senedi yatırım uygulama programından alınan yasal dosyalara ek olarak kötü amaçlı kod içeriyordu.
ESTsecurity araştırmacıları, saldırganların ” XSL Komut Dosyası İşleme ” tekniğinden yararlandığı en az iki yol gösterdi . Hisse senedi yatırım platformunun meşru yükleyicisine saldırganlar, hileli bir FTP sunucusundan kötü amaçlı bir XSL komut dosyası getiren ve bunu yerleşik wmic.exe yardımcı programı aracılığıyla Windows sistemlerinde çalıştıran belirli komutlar enjekte etti .
Nullsoft’un NSIS’iyle yeniden paketlenen sonuçta ortaya çıkan yükleyici, kullanıcı gerçek stok yatırım uygulamasını yüklüyor ve arka planda kötü amaçlı komut dosyalarını sessizce çalıştırıyormuş gibi bir izlenim bırakacaktı.
Saldırının bir sonraki aşaması,% ProgramData% dizininde diğerlerinin yanı sıra ‘OracleCache’, ‘PackageUninstall’ ve ‘USODrive’ adlı dosya ve klasörleri oluşturmak için bir VBScript yürütür. Yük, daha sonra ek komutlar almak için frog.smtper [.] Co üzerinde barındırılan komut ve kontrol (C2) sunucusuna bağlanır .
Yanıltıcı ‘Office 365 __ \ Windows \ Office’ dizini altında etkinleştirme adı verilen hileli zamanlanmış bir görev oluşturarak, kötü amaçlı yazılım, Windows Zamanlayıcı’ya düşen kodu her 15 dakikada bir çalıştırması talimatını vererek kalıcılığı elde eder .
Tehdit aktörleri, virüs bulaşmış sistemin keşfini gerçekleştirir ve ilk taramadan sonra , uğursuz faaliyetlerini daha ileri düzeyde yürütmek için makineye bir Uzaktan Erişim Truva Atı (RAT) yerleştirir.
Bir başka haber: Hacker, 10.000 American Express Hesabının Verilerini Dağıttı
Kuzey Koreli Hackerlar Hisse Senedi Yatırımcılarını Hedef Aldı ! yazısı ilk önce Siber Basın üzerinde ortaya çıktı.
Okumaya devam et...
Talyum artık, yatırımcıları avlamak için bozuk Windows yükleyicileri ve makro yüklü Office belgeleri göndermek gibi birçok yoldan yararlanıyor.
Saldırganlar bir hisse senedi yatırım uygulamasının yükleyicisini değiştiriyor
Kuzey Koreli Hackerlar, Bu hafta, ESTsecurity Güvenlik Yanıt Merkezi (ESRC), Kuzey Koreli bilgisayar korsanlarının kötü niyetli kod göndermek için özel bir hisse senedi yatırım mesajlaşma uygulamasını değiştirdiğini bildirdi.
Thallium olarak bilinen grup , Microsoft Windows için popüler bir komut dosyası ile çalışan yükleyici yazma aracı olan Nullsoft Scriptable Install System (NSIS) kullanarak bir Windows yürütülebilir dosyası üretti. Yürütülebilir dosya, yasal bir hisse senedi yatırım uygulama programından alınan yasal dosyalara ek olarak kötü amaçlı kod içeriyordu.
ESTsecurity araştırmacıları, saldırganların ” XSL Komut Dosyası İşleme ” tekniğinden yararlandığı en az iki yol gösterdi . Hisse senedi yatırım platformunun meşru yükleyicisine saldırganlar, hileli bir FTP sunucusundan kötü amaçlı bir XSL komut dosyası getiren ve bunu yerleşik wmic.exe yardımcı programı aracılığıyla Windows sistemlerinde çalıştıran belirli komutlar enjekte etti .
Nullsoft’un NSIS’iyle yeniden paketlenen sonuçta ortaya çıkan yükleyici, kullanıcı gerçek stok yatırım uygulamasını yüklüyor ve arka planda kötü amaçlı komut dosyalarını sessizce çalıştırıyormuş gibi bir izlenim bırakacaktı.
Saldırının bir sonraki aşaması,% ProgramData% dizininde diğerlerinin yanı sıra ‘OracleCache’, ‘PackageUninstall’ ve ‘USODrive’ adlı dosya ve klasörleri oluşturmak için bir VBScript yürütür. Yük, daha sonra ek komutlar almak için frog.smtper [.] Co üzerinde barındırılan komut ve kontrol (C2) sunucusuna bağlanır .
Yanıltıcı ‘Office 365 __ \ Windows \ Office’ dizini altında etkinleştirme adı verilen hileli zamanlanmış bir görev oluşturarak, kötü amaçlı yazılım, Windows Zamanlayıcı’ya düşen kodu her 15 dakikada bir çalıştırması talimatını vererek kalıcılığı elde eder .
Tehdit aktörleri, virüs bulaşmış sistemin keşfini gerçekleştirir ve ilk taramadan sonra , uğursuz faaliyetlerini daha ileri düzeyde yürütmek için makineye bir Uzaktan Erişim Truva Atı (RAT) yerleştirir.
Bir başka haber: Hacker, 10.000 American Express Hesabının Verilerini Dağıttı
Kuzey Koreli Hackerlar Hisse Senedi Yatırımcılarını Hedef Aldı ! yazısı ilk önce Siber Basın üzerinde ortaya çıktı.
Okumaya devam et...