MoDi RAT

Uzaktan erişim Truva Atı MoDi RAT'ı sağlayan yeni bir saldırı kampanyası, siber güvenlik uzmanları tarafından tespit edildi. Tehdit, bir RAT'den beklenen tüm tehdit edici işlevlere sahiptir. MoDi RAT, saldırganlara virüslü bilgisayara uzaktan erişim sağlar. Bu, bilgisayar korsanlarının keyfi komutlar yürütmesine, dosya sistemini manipüle etmesine, tehlikeye atılan cihazdan toplanan ilgi alanlarına ilişkin bilgileri sızdırmasına veya ek tehdit edici yükler sunmasına olanak tanır.

MoDi RAT ayrıca ek Komut ve Kontrol (C2, C&C) sunucularına bağlanmayı deneyebilir, bu da hasat edilmiş tüm dosyaların veya özel verilerin daha sonra birden fazla harici sunucuya iletilebileceği ve yüklenebileceği anlamına gelir. Toplanan veriler, ayrıntılı ana bilgisayar ve sistem bilgilerini, hassas oturum açma kimlik bilgilerini ve finansal ayrıntıları içerebilir.

Bununla birlikte, infosec araştırmacılarının ortaya çıkardığı en ilginç yönler, tehdidin kendisiyle değil, MoDi RAT'nin teslim edildiği yöntemle bağlantılıydı.

Bir Kıvrımlı Saldırı Zinciri, MoDi RAT'ı Düşürür

MoDi RAT'den oluşan son yük, tehlikeye atılan sisteme kurulmadan önce, saldırı birden çok aşamadan geçer ve tespit edilmekten kaçınmak için tasarlanmış bazı şık hileler içerir. İlk saldırı vektörü büyük olasılıkla bozuk ekler taşıyan e-postaları yayan bir spam e-posta kampanyasıdır. Kullanıcı e-posta ekini yürüttüğünde, sonunda OneDrive'da barındırılan bir .ZIP arşiv dosyasına ulaşmadan önce birkaç HTTP 302 yeniden yönlendirmesi için bir giriş noktası görevi gören uzak bir siteye bağlanan bir Visual Basic Script'i tetikler. Arşiv, kodlanmış bir VBS (VBE) dosyası içerir.

Bu arada, ilk VBS komut dosyası ikinci bir VBS dosyasını dosya sistemine bırakır ve saldırının sonraki aşamalarında kullanılan Windows kayıt defterine üç veri blobu girişi enjekte eder. Bundan sonra, VBS komut dosyasını gelecekte önceden belirlenmiş bir noktada çalıştırmaktan sorumlu bir Zamanlanmış Görev oluşturmaya devam eder. VBS kodu da PowerShell'i başlatır ve gerekli komutları sistemin panosuna ekler. Tehdit daha sonra komutları programlı olarak VBS SendKeys komutu aracılığıyla PowerShell penceresine gönderir. Bu teknik, güvenlik ürünleri tarafından alınabilecek olağandışı komut satırı parametreleri içeren bir PowerShell örneğinin üretilmesini önler.

Dosyasız Saldırı Aşaması

Tehdit edici eylemlerin geri kalanı tamamen dosyasızdır. Adımlar, PowerShell'in Kayıt Defteri bloblarından çalıştırılabilir bir .NET kod çözücünün çıkarılmasını ve bunu bir sistem işlemine enjekte etmesini içerir. Kod çözücü daha sonra bir .NET enjektörü ve yük bloblarını çıkarır. Bu aşamada enjektör, yükü msbuild.exe uygulamasına ekleyerek yüklemeye devam eder.

Birkaç dizenin, ilk ZIP dosyasının adı (Timbres-elektroniği) ve ayrıca Kayıt anahtarlarından birinin (Entreur) Fransız kökenli sözcükler olduğu unutulmamalıdır. MoDi RAT'ın tespit edilen hedefleri arasında birden fazla Fransız firmasının bulunması şaşırtıcı olmayabilir.