Quasar RAT, Radarın Altında Uçmak İçin DLL Yan Yüklemesinden Yararlanıyor - Dünyadan Güncel Teknoloji Haberleri

Quasar RAT, Radarın Altında Uçmak İçin DLL Yan Yüklemesinden Yararlanıyor - Dünyadan Güncel Teknoloji Haberleri
dll’ (ad maskeli) başlıklı bir dosyanın yüklenmesini başlatır exe’ye bağımlılığı ayrıntılarıyla anlatılıyor

Tehdit aktörünün kimliği ve saldırıyı gerçekleştirmek için kullanılan tam ilk erişim vektörü belirsizdir, ancak kimlik avı e-postaları aracılığıyla yayılması muhtemeldir, bu da kullanıcıların şüpheli e-postalara, bağlantılara veya eklere karşı tetikte olmasını zorunlu kılmaktadır exe’ ikili dosyası çalıştırıldığında, içinde kötü amaçlı kodun gizlendiği DLL yan yükleme tekniği yoluyla ‘MsCtfMonitor

DLL yandan yükleme bir popüler teknik tarafından benimsenen birçok tehdit aktörü zararsız bir yürütülebilir dosyanın aradığı bilinen bir adla sahte bir DLL dosyası yerleştirerek kendi yüklerini yürütmek için regasm

CinaRAT ​​veya Yggdrasil adlarıyla da bilinen Quasar RAT, sistem bilgilerini, çalışan uygulamaların, dosyaların, tuş vuruşlarının, ekran görüntülerinin bir listesini toplama ve isteğe bağlı kabuk komutlarını yürütme kapasitesine sahip C# tabanlı bir uzaktan yönetim aracıdır ini olarak yeniden adlandırılan bir MsCtfMonitor exe olarak yeniden adlandırılan ctfmon dll ” söz konusu Geçen hafta yayınlanan bir raporda, kötü amaçlı yazılımın saldırı zincirinin bir parçası olarak ctfmon

Gizli kod, içine enjekte edilen başka bir yürütülebilir “FileDownloader exe adlı yasal bir ikili dosya, monitör exe dosyasıdır


23 Ekim 2023Haber odasıSiber saldırı / Kötü Amaçlı Yazılım

Olarak bilinen açık kaynaklı uzaktan erişim truva atı Kuasar RAT Radarın altından uçmak ve güvenliği ihlal edilmiş Windows ana bilgisayarlarından gizlice veri çekmek için DLL yandan yüklemesinden yararlanıldığı gözlemlendi exeWindows Derleme Kayıt Aracı, bir sonraki aşamayı başlatmak için sahte Secure32 exe” dosyasıdır MsCtfMonitor dll dosyası ve kötü amaçlı bir dosya ” dedi

Uptycs araştırmacıları Tejaswini Sandapolla ve Karthickkumar Kathiresan, “Bu teknik, bu dosyaların Windows ortamında komuta ettiği doğal güvenden yararlanıyor

Truva atı, sistem bilgilerini göndermek için uzak bir sunucuyla bağlantılar kurar ve hatta uç noktaya uzaktan erişim için bir ters proxy ayarlar

Uptycs tarafından belgelenen saldırının başlangıç ​​noktası, üç dosya içeren bir ISO görüntü dosyasıdır: eBill-997358806

MITRE, “Düşmanlar muhtemelen meşru, güvenilir ve potansiyel olarak yükseltilmiş bir sistem veya yazılım süreci altında gerçekleştirdikleri eylemleri maskelemek için yandan yüklemeyi kullanıyor

Araştırmacılar, “‘eBill-997358806 exe ve calc ” notlar saldırı yönteminin açıklamasında dll dosyasını DLL yan yükleme yoluyla tekrar yükleyen ve son Quasar RAT yükünü başlatan orijinal bir calc



siber-2

Popular Articles

Other Articles