Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Gizli WIRTE korsanları Orta Doğu’daki hükümetleri hedef alıyor

Gizli WIRTE korsanları Orta Doğu’daki hükümetleri hedef alıyor

WIRTE adlı gizli bir hack grubu, kötü amaçlı Excel 4.0 makrolarını kullanarak en az 2019’dan bu yana saldırılar düzenleyen bir hükümet hedefleme kampanyasıyla bağlantılıdır.

Birincil hedefleme kapsamı, Orta Doğu’daki yüksek profilli kamu ve özel kuruluşları içerir, ancak araştırmacılar diğer bölgelerdeki hedefleri de gözlemlediler.

Kaspersky kampanyayı, araç kümesini ve yöntemleri analiz etti ve WIRTE’nin Filistin yanlısı motiflere sahip olduğu ve ‘Gazze Sibergang‘.

Bununla birlikte, diğer bağlı hack gruplarına kıyasla, WIRTE daha iyi OpSec ve daha gizli tekniklere sahiptir ve uzun süre tespit edilmekten kaçınabilirler.

Zor damlalık yürütme akışı

WIRTE’nin kimlik avı e-postaları, alıcıların cihazlarına kötü amaçlı yazılım yükleri indirmek ve yüklemek için kötü amaçlı makrolar yürüten Excel belgelerini içerir

WIRTE’nin saldırılarının ana odağı hükümet ve diplomatik kuruluşlar olsa da Kaspersky, bu saldırıların Orta Doğu ve diğer bölgelerde çok çeşitli endüstrileri hedef alan olduğunu gördü.

Kaspersky’s, “Telemetrimiz, tehdit aktörünün diplomatik ve finansal kurumlar, hükümet, hukuk firmaları, askeri kuruluşlar ve teknoloji şirketleri de dahil olmak üzere çeşitli dikeyleri hedef aldığını göstermektedir.” dedi. rapor.

“Etkilenen taraflar Ermenistan, Kıbrıs, Mısır, Ürdün, Lübnan, Filistin, Suriye ve Türkiye’de bulunmaktadır.”

Kötü amaçlı belgeler, hedeflenen kurbanın ilgisini artırmak ve markaları, yetkilileri veya hedeflenen kuruluşu taklit eden logolar ve temalar kullanmak için özel olarak tasarlanmıştır.

Kurbanlara gönderilen kimlik avı belgeleri
Kurbanlara gönderilen kimlik avı belgeleri
Kaynak: Kaspersky

Excel damlalık, ilk olarak gizli bir sütunda ” düzenlemeyi etkinleştir” isteğini özgün dosyadan gizleyen ve yem içeren ikincil bir elektronik tabloyu gösteren bir dizi formül çalıştırır.

Damlalık daha sonra, aşağıdaki üç korumalı alan karşıtı denetimi gerçekleştiren gizli sütunlara sahip üçüncü bir elektronik tablodan formüller çalıştırır:

  1. Ortamın adını alma
  2. Fare olup olmadığını denetleme
  3. Ana bilgisayarın sesleri çalıp çalamazsa denetleme

Tüm denetimler geçirilirse, makro katıştırılmış bir PowerShell snippet’i ve kalıcılık için iki kayıt defteri anahtarı yazan bir VBS komut dosyası yazar.

İki kayıt defteri anahtarını ekleme
İki kayıt defteri anahtarını ekleme
Kaynak: Kaspersky

Makro daha sonra %ProgramData% üzerine VB kodlu bir PowerShell yazarak devam eder. Bu snippet, yükleri indirecek ve C2’den komut alacak ‘LitePower’ sahneleyicidir.

Kaspersky tarafından izlenen/analiz edilen çeşitli izinsiz girişler sırasında gözlemlenen komutlar şunlardır:

  • Yerel disk sürücülerini listeleme
  • Yüklü AV yazılımının listesini al
  • Geçerli kullanıcının yönetici olup olmadığını denetleme
  • işletim sistemi mimarisini alın
  • Arka kapı hizmetlerinin olup olmadığını denetleme
  • COM ele geçirme için eklenen kayıt defteri anahtarlarını denetleme
  • Yüklü tüm düzeltmeleri listele
  • Ekran görüntüsü alın ve bir sonraki POST isteğine kadar %AppData% öğesine kaydedin

Gizlenmiş komut ve denetim

Aktörler, gerçek IP adreslerini gizlemek için C2 alan adlarını Cloudflare’in arkasına yerleştirdiler, ancak Kaspersky bazılarını tanımlayabildi ve Ukrayna ve Estonya’da barındırıldıklarını buldu.

Bu alan adlarının çoğu, WIRTE’nin kapsamlı süreler boyunca algılama, analiz ve raporlamadan kaçınma yeteneğinin göstergesi olan en az Aralık 2019’a kadar uzanmaktadır.

Eşlenen WIRTE C2 altyapısı
Eşlenen WIRTE C2 altyapısı
Kaynak: Kaspersky

En son izinsiz girişler C2 iletişiminde HTTPS üzerinden TCP/443 kullanır, ancak aynı zamanda belirtildiği gibi 2096 ve 2087 TCP bağlantı noktalarını kullanır Lab52 tarafından hazırlanan 2019 raporu.

Eski kampanya ile bir başka benzerlik, hala 60 ila 100 saniye arasında değişen komut dosyasındaki uyku işlevidir.

Komut dosyasında uyku işlevi
Komut dosyasında uyku işlevi
Kaynak: Kaspersky

WIRTE’nin hedefleme kapsamını belirsiz bir şekilde finansal enstitülere ve büyük özel kuruluşlara genişletdiği görülmüştür, bu da denemelerin veya odaktaki kademeli bir değişikliğin sonucu olabilir.

Kaspersky, bu aktörler tarafından kullanılan TTP’lerin basit ve oldukça sıradan olmasına rağmen, grubun hedeflerine karşı hala çok etkili oldukları konusunda uyarıyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.