Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

RAT kötü amaçlı yazılımı sağlamak için kullanılan kötü amaçlı Microsoft Excel eklentileri


Mobilyaların altına saklanan fare

Araştırmacılar, JSSLoader uzaktan erişim truva atının yeni bir sürümünün kötü amaçlı Microsoft Excel eklentileri dağıttığını bildirdi.

Belirli bir RAT (uzaktan erişim truva atı), Aralık 2020’den bu yana, “olarak da bilinen finansal olarak motive edilmiş Rus hack grubu FIN7 ile bağlantılı olarak vahşi ortamda dolaşıyor.çarbanak

JSSLoader, veri sızıntısı gerçekleştirebilen, kalıcılık oluşturabilen, ek yükleri getirip yükleyebilen, kendini otomatik olarak güncelleyebilen ve daha fazlasını yapabilen küçük, hafif bir RAT’dir.

Excel eklentileri

JSSLoader’ın daha gizli yeni bir sürümünü içeren en son kampanya, şu adresteki tehdit analistleri tarafından gözlemlendi: Morphisec Laboratuvarlarıdağıtım mekanizmasının şu anda XLL veya XLM ekleri olan kimlik avı e-postaları olduğunu söyleyenler.

Excel XLL eklentilerinin kötüye kullanılması yeni değilçünkü bir çalışma sayfasına veri aktarmak veya Excel’in işlevselliğini genişletmek gibi meşru amaçlar için yaygın olarak kullanılırlar.

Bununla birlikte, devam eden kampanyada, tehdit aktörleri imzasız bir dosya kullanır, bu nedenle Excel, kurbanı yürütmenin riskleri hakkında net bir uyarı gösterir.

İmzasız XLL dosyası hakkında uyarı
İmzasız XLL dosyası hakkında güvenlik uyarısı
(Morphisek)

Etkinleştirildiğinde, XLL dosyaları, kendisini belleğe yüklemek ve ardından yükü uzak bir sunucudan indirmek ve bir API çağrısı aracılığıyla yeni bir işlem olarak yürütmek için bir xlAutoOpen işlevi içinde kötü amaçlı kod kullanır.

Kötü amaçlı yazılım yükleme ve yürütme akışı
Kötü amaçlı yazılım yükleme ve yürütme akışı (Morfisek)

Daha sofistike şaşırtma

Tehdit aktörü, tüm ağdan algılama bilgilerini birleştiren EDR’lerden kaçınmak için XLL dosyalarındaki Kullanıcı Aracısını düzenli olarak yeniler.

Her XLL örneğinde Kullanıcı Aracısını Değiştirme
Her XLL örneğinde Kullanıcı Aracısını Değiştirme (Morfisek)

Nazaran eski versiyonlaryeni JSSLoader aynı yürütme akışına sahiptir, ancak şimdi tüm işlevlerin ve değişkenlerin yeniden adlandırılmasını içeren yeni bir dize gizleme katmanıyla birlikte gelir.

Yeni sürümde dize gizleme eklendi
Yeni JSSLoader’a dize gizleme eklendi (Morfisek)

Savunucular tarafından kullanılan dizi tabanlı YARA kurallarından tespit edilmekten kaçınmak için yeni RAT, dizileri alt dizilere böldü ve bunları çalışma zamanında birleştirdi.

Yeni ve eski sürümler arasında dize karşılaştırması
Yeni ve eski sürümler arasında dize karşılaştırması (Morfisek)

Son olarak, dizi kod çözme mekanizması, minimum ayak izi bırakacak ve statik tehdit tarayıcıları tarafından tespit edilme şansını azaltacak şekilde basittir.

Morphisec, XLL dosya teslimi ile birleştirilen bu yeni eklemelerin, yeni nesil antivirüs (NGAV) ve uç nokta algılama ve yanıt (EDR) çözümlerinin zorlu ve hatta mantıksız algılamasını önlemek için yeterli olduğunu bildiriyor.

Bu, FIN7’nin, savunucuların AI tabanlı algılama çözümlerini tamamlayan araçlara eşleşen imzaları yüklemeden önce, güvenliği ihlal edilmiş ağda birkaç gün veya haftalarca yılmadan hareket etmesini sağlar.

FIN7, daha önce kötü amaçlı yazılım yüklü USB’ler sunan becerikli bir tehdit grubudur. oyuncak ayının yanında hediyeler, denendi ağ penetrasyon uzmanları işe alın meşru bir güvenlik firması gibi davranarak ve fidye yazılımı taşıyan USB’ler göndererek posta yoluyla.

JSSLoader’ın yeni ve daha gizli sürümü, cephaneliklerinin yalnızca bir parçasıdır ve tespit edilmeden ve durdurulmadan ağlarda daha uzun süre saklanmalarına yardımcı olur.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.