Günümüz tehditlerinin çoğu evrim geçiriyor ve artık dönüşebilir ve şiddetli siber saldırılar en güvenli organizasyonları ihlal edebilir.
Böyle bir tehdit, Ajan Tesla kötü amaçlı yazılımı.Net tabanlı Uzaktan Erişim Truva Atı (RAT) ve genellikle Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) için kullanılan ilk erişimi elde etmek için kullanılan veri hırsızı.
Ajan Tesla kötü amaçlı yazılımı, popüler bir Uzaktan Erişim Truva Atı'dır (RAT) ve 2014'ten beri piyasada. Cyble Research and Intelligence Labs (CRIL) araştırması "Birden çok aşamalı, iyi geliştirilmiş bir süreç kullanan Ajan Tesla kötü amaçlı yazılım saldırısından" yararlanan tehdit aktörleri buldu.
Kampanya, masum kurbanları hedeflemek için "Vergiyle ilgili belgeler ve beraberindeki kontrol paneli dosyaları (CPL)" kullanır.
Araştırmacılara göre, kampanyanın arkasındaki bilgisayar korsanları, kötü amaçlı PowerShell komut dosyaları yürütüyor ve Ajan Tesla'yı enjekte etmek için özel, karartılmış bir .NET yükleyici kullanıyor. yük.
Ajan Tesla kötü amaçlı yazılım saldırısı: Şimdiye kadar bildiklerimiz!
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL), hackerlar Ajan Tesla kötü amaçlı yazılımını çok aşamalı bir mimari kullanarak kullandı.
Ajan Tesla kötü amaçlı yazılım saldırısındaki bulaşma zinciri, phishing e-postası ardından PowerShell betiklerini yürüten bir CPL dosyasından oluşan bir vergi belgesi gelir.
Bu işlemin temelinde, CPL dosyalarının PowerShell betiklerini yürütmek için bir ağ geçidi olarak kullanılması yer alır. Ustalık, yürütme basitliğinde yatmaktadır - süreci başlatmak için yalnızca kötü amaçlı CPL dosyasına çift tıklama.
CPL dosyası, yüzeyin altında PowerShell betiğini önceden tanımlanmış bir URL'den almak için bir kanal görevi gören PowerShell kodunu gizler.
powershell.exe işlemi aracılığıyla enjekte edilen bu komut dosyası, Ajan Tesla kötü amaçlı yazılım yükünün ilk indirilmesini ve yürütülmesini kolaylaştırır.
.NET çerçevesi kullanılarak hazırlanmış Ajan Tesla kötü amaçlı yazılımı, zorlu bir yazılım olarak çalışır. bilgi çalma aracı. Birincil amacı, kimlik bilgilerini çalmak ve hassas kişisel veriler kurban sistemlerden
Bunun ötesinde, Ajan Tesla kötü amaçlı yazılımı, "pano verilerini çalma, dosya sistemi erişimi ve Komuta ve Kontrol (C&C) sunucusuna veri sızdırma" dahil olmak üzere çeşitli yetenekler sergiliyor. Cyble blogu.
Ajan Tesla kötü amaçlı yazılımının işleyiş biçimini anlama
Ajan Tesla kötü amaçlı yazılımı saldırı kampanyası olarak ayrılırher biri tehdit aktörünün büyük planındaki belirli bir amacı yerine getirmek için uyarlanmış aşamalar dizisi.
İlk bulaşma vektörü, normal bir yürütülebilir dosya gibi görünen Gorgees_Ghada_Tax 2021.Cpl adlı kötü amaçlı bir ek içerir.
Yürütme üzerine CPL dosyası, bir PowerShell betiğinin indirilmesini ve yürütülmesini düzenleyen PowerShell komutlarını tetikler.
İndirilen PowerShell komut dosyası, ikili dizilere sarılır ve yeni bir süreç başlatılana kadar gerçek amacını gizler.
Bu süreç, altta yatan kötü amaçlı kod, gizli bir .NET tabanlı yükleyici dahil olmak üzere ek PowerShell betiklerine ve yürütülebilir dosyalarına dönüştürme.
Ajan Tesla'nın sebat arayışı, hem planlanmış görevleri hem de başlangıç klasörlerini değiştirmeyi içerir.
Bu teknikler, kötü amaçlı yazılım güvenliği ihlal edilmiş sistemler üzerinde sürekli bir tutuş sağlar. Zamanlanmış görevler, kötü amaçlı komut dosyalarının yürütülmesini sürdürmek için oluşturulurken başlangıç klasörü, kötü amaçlı yükler sistem başlatma sırasında.
Ajan Tesla kötü amaçlı yazılımı, tespit mekanizmalarından kaçınmak için tasarlanmış oldukça kaçamak bir teknik sergiliyor. AMSISSISISI adlı bir ikili dizi değişkeni, kaçamak eylemler için perde görevi görür.
Bu değişkenin içinde, Windows Defender hizmetlerini yöneten ve Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimini (AMSI) atlayan katıştırılmış ikili dizeler bulunur. Kötü amaçlı yazılım, tespit edilmeden kalmak ve faaliyetlerine devam etmek için bu teknikleri kullanır.
Ajan Tesla kötü amaçlı yazılımının kaynağı
Ajan Tesla'nın ortaya çıkışı kökensiz değil. Araştırmacılar, yaratılışının izini, Quantum Builder yazılımı.
Bu araç, siber suçlulara, Ajan Tesla'nın saldırılarında önemli bir bileşen olan kötü amaçlı LNK dosyaları oluşturma yetkisi verir. Bu LNK dosyaları, kimlik bilgileri toplama, yük yürütme ve ilk sistem erişimi için bir araç görevi görür.
Göre BlackBerry, Ajan Tesla kötü amaçlı yazılımı 2014'te ortaya çıktı ve 2020'lerde COVID-19 KKD temalı istismar nedeniyle öne çıktı kimlik avı şemaları.
Bu kötü amaçlı yazılım, .zip, .gz, .cab, .msi, .img gibi zararlı dosya ekleri içeren e-postalar kullanır ve kötü amaçlı Microsoft Office belgeleri Visual Basic Uygulaması (VBA) makroları ile. Logoları, yazı tiplerini ve üslubu kullanarak gerçek kurumsal iletişimi taklit eder.
İkinci aşama yetenekleri diğer kötü amaçlı yazılımlar kadar gelişmiş olmasa da, Ajan Tesla hassas verileri verimli bir şekilde toplar ve saldırganların çalınan bilgileri izlemesi ve alması için erişilebilir bir arabirim sunar.
Check Point'in 2022 Siber Güvenlik Raporu Ajan Tesla'yı 6'de en yaygın 2021. kötü amaçlı yazılım olarak sıraladı ve iş ağlarının %4.1'ini etkiledi. Küresel sıralamada Formbook'tan sonra ikinci oldu bilgi hırsızı kötü amaçlı yazılım yaygınlığı, 50 ile 2020 arasında %2021 düşüşle.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen dahili ve harici araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. bu Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.
İlgili bağlantılar
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://thecyberexpress.com/new-agent-tesla-malware-attack-campaign/
