Kötü amaçlı yazılım, temel bilgisayar bilgilerini topluyor ve onu bir komuta ve kontrol (C2) sunucusuna gönderiyor
Kullanıcı indirilen zip dosyasını açıp sahte görseli açan şifreyi girdikten sonra yükleyici indirilir
E-postada Azerbaycan ve Ermenistan askerleri arasında yaşanan sınır çatışmasına ilişkin bilgi yer aldığı iddia ediliyor Gutierrez, kötü amaçlı yazılımın yalnızca kurbanların ayrıcalıkları ve izinleri, sistem yapılandırması, çalışan uygulamalar, ağ yapılandırması ve kullanıcı hesaplarının listesi dahil olmak üzere temel bilgileri aradığını söyledi HTML kaçakçılığı yoluyla gizlenmiş bağlantıbiri aslında kötü amaçlı yazılımı indiren bir LNK dosyası olan dört resim görüntüler
siber-1
Fortinet’e göre kurbanlar, Azerbaycanlı şirketle bağlantılı işletmelerin yönetim ekipleriydi
Bir Azerbaycan şirketinin başkanından gelen bir not gibi görünen hedef odaklı kimlik avı e-postası, firmayla ilişkili işletmelere sızmak için kötü amaçlı yazılımları resimlerin arkasına sakladı
“E-postayı açmak enfeksiyon zincirini başlatmak için yeterli” Gutierrez diyor
Gizlenmiş bağlantı için azaltma o kadar kolay değildir Sahte firmanın adını vermeyi reddeden Fortinet kıdemli güvenlik mühendisi Fred Gutierrez, kampanyadan etkilenen diğer işletmelerin şirketin yan kuruluşlarının yanı sıra iş ortaklarını da içerdiğini söyledi
“Bilginin niteliği, bunun ya kırmızı bir ekip çalışması olduğunu ya da daha büyük olasılıkla hedefli bir saldırının keşif aşamasındaki bir sonraki adım olduğunu gösteriyor” diyor
Kötü Amaçlı Yazılımın Benzersizliği Nedir?Bu kötü amaçlı yazılım giderek daha popüler hale gelen bir biçimde programlanıyor Pas dil Bu durumda kullanıcının zip dosyasını açmak için şifreyi manuel olarak girmesi ve ardından ilgili dosyayı içeride başlatması gerekir xml” adlı geçici bir dosya oluşturur O dosyadaki fotoğraflar hem gerçek hem de kötü amaçlı içerik barındırıyordu
HTML kaçakçılığı, e-posta açıldığında JavaScript kurbanın bilgisayarına otomatik olarak bir zip dosyası indirdiğinde meydana gelir; bu noktada kullanıcıya zip dosyasının indirildiği bildirilir İndirmeyi reddetme veya kabul etme seçeneği yoktur
Bu tür saldırılara karşı savunma yapmak için Fortinet, ister e-posta isterse bir web sayfası (watering delik saldırısı gibi) şeklinde olsun, kimlik avı işaretlerini öğrenmenizi öneriyor ”
Şifrenin e-posta metninde yer aldığını ekliyor
Kötü amaçlı yazılım, bilgileri normal çalışma saatleri dışında çalmak için zamanlanmış bir görev ayarlayan “24rp Buna göre MITRE’den bir tavsiye sayfasıBu tür saldırı tekniği, sistem özelliklerinin kötüye kullanılmasına dayandığı için önleyici kontrollerle kolayca hafifletilemez “Görüntüleri içeren bir zip dosyasını otomatik olarak kullanıcının bilgisayarına indirecektir HTML kaçakçılığı, kullanıcının gerçekten tamamen virüs bulaşması için bir eylem gerçekleştirmesini gerektirir
Buna göre Fortinet’ten araştırmae-postalar cAzerbaycan ile Ermenistan arasındaki çatışmayı yatıştırdı ve kontrol altına aldı bir zip dosyası Araştırmacılar, kötü amaçlı yazılımın görevlerini yerine getirirken rastgele süreler boyunca uyuyabildiğini iddia ediyor Bu teknik, amaçlanan hedeflerin bilgisayarlarını gece boyunca açık bıraktığını ve böylece kötü amaçlı yazılımın, fark edilme olasılığının daha düşük olduğu normal çalışma saatleri dışında çalışabileceğini varsayar