Hindistan, Rusya ve Çin’den üç APT hack grubu, son kimlik avı kampanyalarında yeni bir RTF (zengin metin formatı) şablon enjeksiyon tekniği kullanılarak gözlemlendi.
Bu teknik, uzak bir URL’den kötü amaçlı içerik almak için basit ama etkili bir yöntemdir ve tehdit analistleri yakında daha geniş bir tehdit aktörü kitlesine ulaşmasını beklemektedir.
Araştırmacılar – Yazım Denetleme Noktası Mart 2021’de ilk silahlandırılmış RTF şablon enjeksiyon vakalarını tespit etti ve o zamandan beri aktörler tekniği sürekli olarak optimize ediyor.
Yükleri getirmek için basit bir yöntem
Zengin Metin Biçimi (RTF) dosyaları Microsoft Word, WordPad ve hemen hemen tüm işletim sistemlerinde bulunan diğer uygulamalar kullanılarak açılabilir Microsoft tarafından oluşturulan bir belge biçimidir.
RTF dosyaları oluştururken, belgedeki metnin nasıl biçimlendirileceğini belirten bir RTF Şablonu ekleyebilirsiniz. Bu şablonlar, dosyanın içeriğini doğru biçimlendirmeden önce RTF görüntüleyiciye içe aktarılan yerel dosyalardır.
RTF Şablonlarının yerel olarak barındırılması amaçlanırken, tehdit aktörleri artık yerel dosya kaynağı yerine bir URL kaynağı almak için bu meşru işlevselliği kötüye kullanıyor.
Bu değiştirme, tehdit aktörlerinin Microsoft Word veya UZAK URL’ye karşı NTLM kimlik doğrulaması gerçekleştirme Windows kimlik bilgilerini çalmak için. Ayrıca, bu dosyalar RTF Şablonları olarak aktarıldıkça, rtf dosyalarında başlangıçta mevcut olmadıkları için algılama kimlik avı yemlerini atlamak için daha uygundurlar.
Bir tehdit aktörünün yapması gereken tek şey, {*template URL}
komutu aşağıda gösterildiği gibi onaltılık bir düzenleyici kullanarak bir RTF dosyasına.
Yöntem, Microsoft Word’de açılan doc.rtf dosyalarında da uygulanabilir ve uygulamayı aşağıda gösterildiği gibi içeriği kurbana sunmadan önce belirtilen URL’den kaynak almaya zorlar.
Vahşi doğada istismar vakaları
Proofpoint, Hint yanlısı hack grubu DoNot Team, Rusya bağlantılı Gamaredon hack grubu ve TA423 tehdit aktörleri tarafından kimlik avı kampanyalarında bu yük alma yöntemini gözlemledi.
Gözlemlenen etkinliklerin zaman çizelgesi aşağıda gösterilmiştir.
RTF dosyaları 16 bit Unicode karakterleri ayrıştırabilir, bu nedenle tehdit aktörleri algılamadan kaçmak için eklenen URL kaynağı için düz metin dizeleri yerine Unicode kullanıyorlar.
Ancak, DoNot Team kampanyaları tarafından alınan bazı örneklerde Proofpoint, Microsoft Word’ün denetimlerinin geçememesini fark etti ve uzak kaynağın geçersiz olduğu hakkında bir hata iletisiyle sonuçlandı.
Bu hatalar, yem içeriği hedefe sunulmadan önce oluşturulduğundan, DoNot’un kimlik avı girişimleri için başarı şansı önemli ölçüde düşer.
Öte yandan TA423, eklenen URL’leri karartmayarak Microsoft Word’de hatasız yükleme için algılama ve çözümleme için daha yüksek risk alışverişinde bulundu.
Son olarak, Gamaredon durumunda, araştırmacılar bir MP3 dosyasını uzak kaynak olarak teslim etmek için Ukrayna hükümet kuruluşlarını taklit eden RTF belgelerini örneklediler.
RTF Şablon enjeksiyonları onaltılık bir düzenleme aracı kullanılarak kolayca gerçekleştirildiği ve antivirüs tarayıcıları tarafından yoğun bir şekilde algılanmadıkça, tehdit aktörleri tarafından daha yaygın olarak kullanılmaya devam ederler.
Proofpoint raporunda, “XML Office tabanlı uzak şablon belgelerinin uygulanabilirliği, bu tür bir teslimat mekanizmasının ilk teslimat vektörü olarak kimlik avı ile eşleştirildiğinde dayanıklı ve etkili bir yöntem olduğunu kanıtlamıştır.” dedi.
“Bu yöntem şu anda çeşitli gelişmişliğe sahip sınırlı sayıda APT aktörü tarafından kullanılırken, tekniğin etkinliği kolaylığı ile birleştiğinde kullanım, benimsenmesini tehdit ortamında daha da ileriye götürme olasılığı yüksektir.”
Ayrıca, kötü amaçlı içerik uzak bir URL’den alındığından, tehdit aktörlerinin yeni yükler veya farklı kötü amaçlı davranışlar kullanmak için kampanyalarını gerçek zamanlı olarak dinamik olarak değiştirmelerine olanak tanır.
Bu tehdide karşı savunmak için, istenmeyen e-postalarla gelen RTF dosyalarını indirmekten ve açmaktan kaçınmalı, av tarayıcıyla taramalı ve kullanılabilir en son güvenlik güncelleştirmelerini uygulayarak Microsoft Office’inizi güncel tutmalısınız.
Proofpoint ayrıca, yöneticilerin uzak RTF Şablonlarını içerecek şekilde değiştirilmiş RTF dosyalarını algılamak için kullanabileceği YARA imzalarını da paylaştı.