Araştırmacılar, JSSLoader uzaktan erişim truva atının yeni bir sürümünün kötü amaçlı Microsoft Excel eklentileri dağıttığını bildirdi.
Belirli bir RAT (uzaktan erişim truva atı), Aralık 2020’den bu yana, “olarak da bilinen finansal olarak motive edilmiş Rus hack grubu FIN7 ile bağlantılı olarak vahşi ortamda dolaşıyor.çarbanak”
JSSLoader, veri sızıntısı gerçekleştirebilen, kalıcılık oluşturabilen, ek yükleri getirip yükleyebilen, kendini otomatik olarak güncelleyebilen ve daha fazlasını yapabilen küçük, hafif bir RAT’dir.
Excel eklentileri
JSSLoader’ın daha gizli yeni bir sürümünü içeren en son kampanya, şu adresteki tehdit analistleri tarafından gözlemlendi: Morphisec Laboratuvarlarıdağıtım mekanizmasının şu anda XLL veya XLM ekleri olan kimlik avı e-postaları olduğunu söyleyenler.
Excel XLL eklentilerinin kötüye kullanılması yeni değilçünkü bir çalışma sayfasına veri aktarmak veya Excel’in işlevselliğini genişletmek gibi meşru amaçlar için yaygın olarak kullanılırlar.
Bununla birlikte, devam eden kampanyada, tehdit aktörleri imzasız bir dosya kullanır, bu nedenle Excel, kurbanı yürütmenin riskleri hakkında net bir uyarı gösterir.
(Morphisek)
Etkinleştirildiğinde, XLL dosyaları, kendisini belleğe yüklemek ve ardından yükü uzak bir sunucudan indirmek ve bir API çağrısı aracılığıyla yeni bir işlem olarak yürütmek için bir xlAutoOpen işlevi içinde kötü amaçlı kod kullanır.
.jpg)
Daha sofistike şaşırtma
Tehdit aktörü, tüm ağdan algılama bilgilerini birleştiren EDR’lerden kaçınmak için XLL dosyalarındaki Kullanıcı Aracısını düzenli olarak yeniler.
Nazaran eski versiyonlaryeni JSSLoader aynı yürütme akışına sahiptir, ancak şimdi tüm işlevlerin ve değişkenlerin yeniden adlandırılmasını içeren yeni bir dize gizleme katmanıyla birlikte gelir.
Savunucular tarafından kullanılan dizi tabanlı YARA kurallarından tespit edilmekten kaçınmak için yeni RAT, dizileri alt dizilere böldü ve bunları çalışma zamanında birleştirdi.
.jpg)
Son olarak, dizi kod çözme mekanizması, minimum ayak izi bırakacak ve statik tehdit tarayıcıları tarafından tespit edilme şansını azaltacak şekilde basittir.
Morphisec, XLL dosya teslimi ile birleştirilen bu yeni eklemelerin, yeni nesil antivirüs (NGAV) ve uç nokta algılama ve yanıt (EDR) çözümlerinin zorlu ve hatta mantıksız algılamasını önlemek için yeterli olduğunu bildiriyor.
Bu, FIN7’nin, savunucuların AI tabanlı algılama çözümlerini tamamlayan araçlara eşleşen imzaları yüklemeden önce, güvenliği ihlal edilmiş ağda birkaç gün veya haftalarca yılmadan hareket etmesini sağlar.
FIN7, daha önce kötü amaçlı yazılım yüklü USB’ler sunan becerikli bir tehdit grubudur. oyuncak ayının yanında hediyeler, denendi ağ penetrasyon uzmanları işe alın meşru bir güvenlik firması gibi davranarak ve fidye yazılımı taşıyan USB’ler göndererek posta yoluyla.
JSSLoader’ın yeni ve daha gizli sürümü, cephaneliklerinin yalnızca bir parçasıdır ve tespit edilmeden ve durdurulmadan ağlarda daha uzun süre saklanmalarına yardımcı olur.