EXCEL DOSYALARI ÜZERİNDEN PHISHING SALDIRISI
Saldırı, sipariş bildirimi kılığında gönderilen bir OLE Excel dokümanı ile başlıyor. Bu dosya açıldığında, Microsoft Office ürünlerinde uzaktan kod çalıştırmaya izin veren CVE-2017-0199 güvenlik açığını kullanarak HTML Uygulaması (HTA) dosyası indiriyor ve çalıştırıyor.
HTA dosyası, güvenlik yazılımlarını atlatmak amacıyla JavaScript, VBScript, PowerShell gibi farklı dillerde yazılmış ve karmaşık hale getirilmiş kodlar içeriyor. Dosya, PowerShell kullanarak dllhost.exe adlı zararlı yazılımı indirip çalıştırarak Remcos RAT’ın sisteme yerleşmesini sağlıyor. Ayrıca, otomatik başlatmayı etkinleştirmek için sistem kayıt defterini değiştirerek kalıcılık sağlıyor.
REMOS RAT’IN YETENEKLERİ VE TESPİTİ ZORLAŞTIRAN TEKNİKLERİ
Etkinleştirildiğinde Remcos RAT, Komut ve Kontrol (C&C) sunucusuna bağlanarak saldırganlara sistemle ilgili çeşitli bilgileri aktarıyor ve uzaktan kontrol sağlayan komutlar alıyor. Bu bilgiler arasında sistem yapılandırması, kullanıcı verileri, ağ bilgileri yer alırken, saldırganlara dosya manipülasyonu, tuş kaydedici, ekran kaydı ve kamera erişimi gibi işlemler yapma imkanı tanıyor.
Tespit edilmemek adına Remcos RAT, gelişmiş anti-analiz tekniklerinden olan Vektörlü İstisna İşleme ile hata yakalama işlemlerini manipüle ediyor. Ayrıca, process hollowing adı verilen bir yöntem kullanarak kötü amaçlı kodunu Vaccinerende.exe gibi meşru bir işlemin içine enjekte edip arka planda çalışıyor. Zararlı yazılım aynı zamanda hata ayıklayıcıların varlığını tespit etmek için debug register (DR0-DR7) kontrolleri yapıyor, sık kullanılan API çağrılarını izliyor ve ZwSetInformationThread() ile hata ayıklama araçlarından kendini gizliyor.
REMOS RAT SALDIRILARINA KARŞI KORUNMA YÖNTEMLERİ
Fortinet araştırmacıları, Remcos RAT’a karşı önlem almak için bazı koruma yöntemleri öneriyor. Kullanıcıların, bilinmeyen e-posta bağlantıları ve eklerine tıklamaktan kaçınması, güncel bir güvenlik yazılımı kullanması, sistem güncellemelerini yapması ve Belge Yeniden Yapılandırma Hizmeti (CDR) kullanarak belgelerdeki zararlı içerikleri açmadan temizlemeleri tavsiye ediliyor.
Bu güvenlik önlemlerini uygulayarak kullanıcılar, Remcos RAT ve benzeri tehditlerden korunma şanslarını artırabilirler.