Rus Gamaredon Hacker Grubu kötü amaçlı yazılım yaymak için Outlook makrolarını kullanıyor!!

Rusya bağlantılı Gamaredon hacker grubuyla ilişkilendirilen yeni araçlar, Microsoft Outlook için kötü amaçlı belgelerle özel e-postalar oluşturan ve kurbanın kişilerine gönderen bir modül içerdiği tespit edildi.

Tehdit aktörü, Outlook’ta makro komut dosyaları çalıştırmak ve kötü amaçlı yazılımları diğer kurbanlara yayan spearphishing saldırıları için kaynak dosyası oluşturmak için korumaları devre dışı bırakabiliyor.

Gamaredon, en az 2013 yılından bu yana siber casusluk alanında aktif faliyet gösteren bir grup, özellikle son dönemde siyasi ve askeri kazanç için Ukrayna’daki ulusal güvenlik kurumlarını hedef alıyor.Uzmanlara göre bu grup Aralık 2019’dan beri daha aktif hale geldi.


Otomatik kimlik avı Son kötü amaçlı kampanyalarda Gamaredon (Primitive Bear) tarafından kullanılan yeni bir paket, Microsoft Outlook e-posta istemcisini kötü amaçlı makro komut dosyalarıyla hedefleyen bir Visual Basic for Applications (VBA) projesi (.OTM dosyası) içerir. Kötü amaçlı yazılımları kişilere yaymak için bir e-posta hesabından ödün vermek yeni bir yöntem değildir, ancak siber güvenlik şirketi ESET’teki kötü amaçlı yazılım analistleri Gamaredon tarafından kullanılan yöntemin daha önce kamuya açıklanmamış olduğuna inanmaktadır. Modülü analiz eden araştırmacılar, olaylar zincirinin Outlook sürecini sonlandıran bir VBScript ile başladığını gördüler.

Daha sonra, komut dosyası Outlook’ta VBA makrolarının yürütülmesine karşı güvenliği kaldırmak için kayıt defteri değerlerini değiştirir ve diskte, etkilenen belgelerin kişi listesindeki e-posta adreslerine yayılmasına yardımcı olan kötü amaçlı bir OTM dosyasını depolar. Outlook aynı anda yalnızca bir VBA projesini destekler ve Gamaredon etkinliğinde kullanılan OTM dosyası, kötü amaçlı bir e-posta eki olan bir VBA komut dosyası (makro) içerir. Bazen, iletileri alması gereken hedeflerin bir listesini de içerebilir. ESET’e göre, tehdit aktörü kurbanın adres defterindeki tüm kişileri, aynı kuruluştaki herkesi veya önceden tanımlanmış bir e-posta adresi kümesini avlayabilir.


VBA kodu, gövde metni ve kötü amaçlı dosyalarla (.DOCX, .LNK) eksiksiz bir e-postanın oluşturulmasından sorumludur.


ESET’e göre, Gamaredon, etkilenen ana bilgisayarda bulunan belgelerde kötü amaçlı makrolar veya uzak şablonlar enjekte etmek için modül olan CodeBuilder için birden fazla varyanta sahiptir. Bu yöntem etkilidir, çünkü belgeler genellikle kuruluş içinde paylaşılır ve dosyalar birden çok kez açılabileceğinden kalıcılık sağlar.


Kötü amaçlı yazılım bu şekilde yayıldığında, araştırmacılar indiricilerin ve arka odaların en yaygın olduğunu belirtiyorlar. Bazıları 2017’den beri görülen varyantlar için güncellemeler, diğerleri ise farklı bir programlama dilinde yeniden yazılıyor

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!