Squirrelwaffle adında yeni bir kötü amaçlı yazılım tehdidi, vahşi ve ilk etapta destekleyen aktörleri ve kötü amaçlı yazılımları ödün verilen sistemlere ve ağlara bırakmanın bir yolunu ortaya çıkardı.
Yeni kötü amaçlı yazılım aracı, en son kampanyalarda Qakbot ve Kobalt Grevini düşüren spam kampanyaları ile yayılır.
Cisco Talos'taki araştırmacılar tarafından keşfedilen Squirrelwaffle, yaygın olarak kullanılan Botnet'teki kanun uygulayıcısından kısa bir süre sonra emotet değiştirme olarak ortaya çıkan araçlardan biridir.
Bu yeni tehdit, ilk olarak Eylül 2021'de, bu ayın sonunda doz veren dağıtım hacimleri ile ortaya çıktı. Spam kampanyası öncelikle çalınan cevap zinciri e-posta kampanyalarını İngilizce olarak kullanırken, tehdit aktörleri de Fransızca, Almanca, Hollandaca ve Polonya e-postalarını kullanır.
Bu e-postalar, saldırgan kontrollü web sunucularında barındırılan kötü amaçlı zip arşivlerine köprüler içerir ve tipik olarak, eğer açıldığında kötü amaçlı yazılım alma kodunu çalıştıran bir kötü amaçlı .doc veya .xls eki içerir.
Talos araştırmacıları tarafından örneklenen ve analiz edilen çeşitli belgelerde, aktörler, alıcıları MS Office Suite'sinde makroları etkinleştirmek için alıcıları kandırmak için yem olarak kullandılar.
İçerilen kod, şaşkınlık için Dize geri dönüşü kaldıraçları,% ProgramData'ya VBS komut dosyası yazar ve çalıştırır.
Bu eylem, Squirrelwaffle'u, en sertleştirilmiş URL'den birinden getirerek, onu tehlikeye giren sisteme bir DLL dosyası biçiminde iletir.
Squirrelwaffle yükleyici daha sonra Kaokbot gibi kötü amaçlı yazılımları veya yaygın olarak istismara uğramış penetrasyon testi aracı kobalt grevi kullanır.
Kobalt Strike, bir kuruluşun altyapısını güvenlik altyapısını ve güvenlik açıklarını keşfetmek için bir kuruluşun altyapısını test etmek için bir saldırı çerçevesi olarak tasarlanmış meşru bir penetrasyon test aracıdır.
Bununla birlikte, kobalt grevinin çatlak versiyonları da, tehlikeye giren cihazlara kalıcı bir uzaktan erişim sağladıktan sonra, işten çıkarma sonrası görevler için tehdit aktörleri tarafından (genellikle Ransomware saldırıları sırasında kullanılır) tarafından kullanılır.
Squirrelwaffle ayrıca, tespit ve analizden kaçınmanın bir yolu olarak, kayda değer güvenlik araştırma firmaları ile doldurulmuş bir IP BlockList'e sahiptir.
Squirrelwaffle ve C2 altyapısı arasındaki tüm iletişimler şifrelenmiştir (XOR + Base64) ve HTTP sonrası istekleri aracılığıyla gönderilir.
Tehdit aktörleri, WordPress 5.8.1'i çalıştıran bu sitelerin çoğunda, operasyonlarının dosya dağıtım yönünü desteklemek için daha önce ödün veren web sunucularından yararlanabilir.
Bu sunucularda, rakipler, beyaz şapka algılamasını ve analizini önlemeye yardımcı olan "Antibot" komut dosyalarını kullanır.
Diğer kurulan aktörler, geçmişteki Cisco Talos raporunda kapsanan yöntemlerin birkaçını konuşlandırdı.
Bu nedenle, Squirrelwaffle, kanun uygulayıcıları veya diğer tehdit aktörleri tarafından Beceriksiz kötü amaçlı yazılımların geride bırakılan boşluğu doldurmaya çalışan diğer tehdit oyuncuları tarafından bir emotetin yeniden başlatılması olabilir.
Artan kullanımı nedeniyle Cisco Talos, tüm organizasyonların ve güvenlik uzmanlarının, bu kötü amaçlı yazılımın kampanyalarında kullanılan TTPS'nin farkında olmalarını önerir.
Mykings botnet hala aktif ve büyük miktarda para kazanıyor
Freakout Botnet şimdi savunmasız video DVR cihazlarına saldırıyor
Flubot Android Malware şimdi sahte güvenlik güncellemeleri ile yayılır
Omigod: Microsoft Azure VMS Mirai, Miners'ı düşürmek için kullandılar.
Ukraynaca, haftada 2.000 çalınan giriş yapmak için iade edildi
Kaynak: Bleeping Computer