Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
IcedID Yükleyiciyle Bağlantısı Olan Yeni Kötü Amaçlı Yazılım Tespitten Kaçıyor, Kalıcılık Kazanıyor
Prajeet Nair (@prajeetspeaks) •
5 Nisan 2024
Güvenlik araştırmacıları, IcedID yükleyicisinin evrimsel halefi olduğuna inanılan Latrodectus adlı nispeten yeni bir kötü amaçlı yazılım hakkında uyarıda bulunuyor. Kasım 2023’ten bu yana kötü amaçlı e-posta kampanyalarında tespit ediliyor ve son iyileştirmeler, tespit edilmesini ve azaltılmasını zorlaştırıyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Proofpoint’in Tehdit Araştırma ekibi, Cymru S2 Tehdit Araştırma Ekibi ile işbirliği içinde, Şubat 2024’ten itibaren Latrodectus’u sunan neredeyse bir düzine kampanyayı tespit etti. İlk erişim aracıları tarafından kullanılan kötü amaçlı yazılım, veri yüklerini indiriyor ve rastgele komutları çalıştırıyor.
İlk analiz, Latrodectus’un IcedID’nin yeni bir çeşidi olduğunu öne sürerken, sonraki araştırmalar bunun büyük olasılıkla kodda tanımlanan bir dize nedeniyle Latrodectus olarak adlandırılan yeni bir kötü amaçlı yazılım olduğunu buldu. Latrodectus’un tarihi IcedID operasyonlarında kullanılan altyapıyı kullanması, aynı tehdit aktörleriyle potansiyel bağları olduğunu gösteriyor. İlk olarak 2017 yılında keşfedilen IcedID, bir bankacılık Truva Atı ve uzaktan erişim Truva Atı olarak tanımlandı.
Araştırmacılar, Latrodectus’un ana distribütörleri olan TA577 ve TA578 tehdit aktörlerinin faaliyetlerine ilişkin, tehdit aktörlerinin zaman içinde kullandığı gelişen taktikleri gösteren bilgiler keşfetti.
Daha önce Qbot dağıtımıyla tanınan TA577, Pikabot’a geri dönmeden önce Kasım 2023’te Latrodectus’u üç kampanyada kullandı. Buna karşılık TA578, kötü amaçlı yazılımı hedeflere ulaştırmak için iletişim formlarını ve kimliğe bürünme tekniklerini kullanarak 2024 yılının Ocak ayının ortasından bu yana ağırlıklı olarak Latrodectus’un dağıtımını yapıyor.
Latrodectus bir indirici olarak işlev görür ve birincil amacı, yükleri indirmek ve isteğe bağlı komutları yürütmektir. Korumalı alandan kaçınma teknikleri dikkat çekicidir ve IcedID kötü amaçlı yazılımıyla benzerlikler taşır. Bu değerlendirme, Latrodectus’un muhtemelen IcedID ile aynı grup tarafından geliştirildiğini gösteriyor.
Kötü Amaçlı Yazılım İşlevleri
Latrodectus, algılamayı atlatmak için Windows API işlevlerinin dinamik çözünürlüğü de dahil olmak üzere gelişmiş teknikler kullanır. Hata ayıklayıcıların varlığını kontrol eder, sistem bilgilerini toplar ve sanal alanlardan kaçınır. IcedID’ye benzer iletişim protokolü, kayıt bilgilerini komuta ve kontrol sunucularına iletmeden önce şifreleyerek gizli çalışmayı sağlar.
Modüler yapısı, farklı ortamlara uyum sağlamasına ve çok çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanır.
Team Cymru’nun Latrodectus altyapısına ilişkin analizi, IcedID operasyonlarıyla önemli bir örtüşme tespit etti ve bu da ortak tehdit aktörlerinin katılımını öne sürdü. C2 ömrü ve kurulum oranlarındaki modeller, Latrodectus’un operasyonel dinamikleri hakkında bilgi sağlayarak devam eden bir faaliyet ve altyapı evrimi döngüsünü vurguluyor.
Etkili şifre çözme için önceki sözde rastgele sayı üretecini (PRNG) dönen bir XOR anahtarıyla değiştiren basitleştirilmiş bir dize şifre çözme algoritması kullanır.
Kötü amaçlı yazılım, kendini yükleyerek, Otomatik Çalıştırma anahtarlarını ayarlayarak ve zamanlanmış görevler oluşturarak virüslü sistemlerde kalıcılık sağlar. Komuta ve kontrol sunucusuyla iletişim, tutarlı bir anahtar olan (12345) RC4 algoritması kullanılarak şifrelenir. Virüs bulaşan her ana bilgisayar, seri kimliğine dayalı olarak benzersiz bir bot kimliği üretir ve bu, şifrelenir ve tanımlama için C2 sunucusuna gönderilir.
Dağıtılmış C2 altyapısı, Tier 1 ve Tier 2 sunucularından oluşur ve operatör etkinliğini ve tarihi IcedID operasyonlarına bağlantıları gösteren modeller sergiler. Kampanya kimlikleri, ilişkilendirme için belirli tehdit aktörü kampanyalarıyla ilişkilendirilen FNV-1a algoritması kullanılarak karma haline getirilir.
Araştırmacılar, kalıcılık mekanizmaları ve şifreli iletişimle birlikte bu taktiklerin, geleneksel güvenlik önlemlerinin etkili bir şekilde tespit edilmesini ve azaltılmasını zorlaştırdığını söyledi.