Çoklu Cihaz Lisansları (Toplu İndirimler)

Bölge değiştir

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader SkinnyBoy Malware

SkinnyBoy Malware

CagedTech'de Trojan Downloader'de
Çevir:
Türkçe

Cluster 25 tehdit araştırma şirketinden Infosec uzmanları, stratejik varlıklara karşı kullanılan yeni bir hedef odaklı kimlik avı kampanyasını ortaya çıkardı. Saldırı zincirinin bir parçası olarak, araştırmacılar, son tehdit edici yükü ihlal edilen sistemlere teslim etmekle görevli orta aşama bir indirici olarak hareket eden yeni bir kötü amaçlı yazılım tehdidi buldular. SkinnyBoy adlı kötü amaçlı yazılımın, Rusça konuşan APT28 çetesinin zararlı cephaneliğinin bir parçası olduğu düşünülüyor. Bu özel tehdit aktörü aynı zamanda Fancybear, Sednit, Strontium, PwnStorm ve Sofacy isimleri altında da takip ediliyor.

 

Sıska Boy Özellikleri

SkinnyBoy saldırısı, yemli oltalama e-postalarının teslim edilmesiyle başlar. Kurbanlar, Temmuz sonunda İspanya'da gerçekleşecek olan uluslararası bir bilimsel etkinlik için sahte bir davet alırlar. E-postaya ekli, bozuk bir makro içeren, silaha dönüştürülmüş bir Microsoft belgesidir. Etkinleştirildiğinde, makro, DLL dosyası biçiminde bir kötü amaçlı yazılım indiricisini ayıklar.

SkinnyBoy, virüslü sistemin yanında teslim edilir. Tehdit, 'tpd1.exe' adlı bir dosya olarak gelir. Başlatıldıktan sonra SkinnyBoy, Windows Başlangıç klasörü altında bir LNK dosyası oluşturarak bir kalıcılık mekanizması oluşturmaya çalışır. Güvenliği ihlal edilen sistem bir sonraki yeniden başlatıldığında, LNK tetiklenir ve ana SkinnyBoy yük dosyası 'TermSrvClt.dll'yi aramaya başlar. Bunu, C:\Users\%username%\AppData\Local konumunda depolanan her dosyanın SHA256 karmasını tarayarak yapar.

SkinnyBoy tarafından gerçekleştirilen temel görev, virüslü sistemlerdeki son yükün teslim edilmesidir. Bununla birlikte, sistemde mevcut olmasına rağmen, tehdit ayrıca 'syteminfo.exe' ve 'tasklist.exe' Windows araçlarından yararlanarak belirli bilgileri toplayacaktır. Veriler aşağıdaki dosyalardan ve konumlardan toplanır:

  • C:\Kullanıcılar\%kullanıcıadı%\Masaüstü
  • C:\Program Dosyaları - C:\Program Dosyaları (x86)
  • C:\Users\%kullanıcıadı%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
  • C:\Users\%kullanıcıadı%\AppData\Roaming
  • C:\Users\%kullanıcıadı%\AppData\Roaming\Microsoft\Windows\Templates
  • C:\Windows - C:\Kullanıcılar\kullanıcı\AppData\Local\Temp

SkinnyBoy tarafından toplanan bilgiler daha sonra düzenlenir, base64 formatında kodlanır ve operasyonun Komuta ve Kontrol sunucularına aktarılır.

Sıska Çocuk Kurbanları

SkinnyBoy kötü amaçlı yazılımı şimdiye kadar çok sayıda potansiyel kurbana karşı kullanıldı. APT28'in ağırlıklı olarak dışişleri bakanlıkları, savunma sanayi kuruluşları, büyükelçilikler ve askeri sektör kuruluşları gibi devlet kurumlarını hedef aldığı görülüyor. Kurbanların birçoğu Avrupa Birliği'nde yerleşik olsa da, APT28 saldırının muhtemelen ABD kuruluşlarını da etkilemesiyle daha büyük ölçekte çalışabilir.

trend

En çok görüntülenen

Yükleniyor...