Günümüz tehditlerinin çoğu gelişiyor ve artık en güvenli kuruluşları ihlal edebilecek ciddi siber saldırılara dönüşebilir ve bunlara uyum sağlayabilir.
Bu tür tehditlerden biri, genellikle Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) için kullanılan ilk erişimi elde etmek için kullanılan .Net tabanlı bir Uzaktan Erişim Truva Atı (RAT) ve veri hırsızı olan Ajan Tesla kötü amaçlı yazılımıdır.
Ajan Tesla kötü amaçlı yazılımı, popüler bir Uzaktan Erişim Truva Atı’dır (RAT) ve 2014’ten beri piyasada. çok aşamalı gelişmiş bir süreç.”
Kampanya, masum kurbanları hedeflemek için “Vergiyle ilgili belgeler ve beraberindeki kontrol paneli dosyaları (CPL)” kullanır.
Araştırmacılara göre, kampanyanın arkasındaki bilgisayar korsanları, kötü amaçlı PowerShell komut dosyaları yürütüyor ve Ajan Tesla yükünü enjekte etmek için özel bir gizlenmiş .NET yükleyici kullanıyor.
Ajan Tesla kötü amaçlı yazılım saldırısı: Şimdiye kadar bildiklerimiz!
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL), bilgisayar korsanlarının çok aşamalı bir mimari kullanarak Ajan Tesla kötü amaçlı yazılımını kullandığını tespit etti.
Ajan Tesla kötü amaçlı yazılım saldırısındaki bulaşma zinciri, bir kimlik avı e-postası ve ardından PowerShell betiklerini yürüten bir CPL dosyasından oluşan bir vergi belgesi ile başlar.
Bu işlemin temelinde, CPL dosyalarının PowerShell betiklerini yürütmek için bir ağ geçidi olarak kullanılması yer alır. Ustalık, yürütme basitliğinde yatmaktadır – süreci başlatmak için yalnızca kötü amaçlı CPL dosyasına çift tıklama.
CPL dosyası, yüzeyin altında PowerShell betiğini önceden tanımlanmış bir URL’den almak için bir kanal görevi gören PowerShell kodunu gizler.
powershell.exe işlemi aracılığıyla enjekte edilen bu komut dosyası, Ajan Tesla kötü amaçlı yazılım yükünün ilk indirilmesini ve yürütülmesini kolaylaştırır.
.NET çerçevesi kullanılarak hazırlanmış Ajan Tesla kötü amaçlı yazılımı, zorlu bir bilgi çalma aracı olarak çalışır. Birincil amacı, kurban sistemlerinden kimlik bilgilerini ve hassas kişisel verileri çalmaktır.
Bunun ötesinde, Ajan Tesla kötü amaçlı yazılımı, Cyble blogunda “pano verilerini çalma, dosya sistemi erişimi ve Komuta ve Kontrol (C&C) sunucusuna veri sızdırma” dahil olmak üzere çeşitli yetenekler sergiliyor.
Ajan Tesla kötü amaçlı yazılımının işleyiş biçimini anlama
Ajan Tesla kötü amaçlı yazılım saldırısı kampanyası şu şekilde ayrılmıştır:her biri tehdit aktörünün büyük planındaki belirli bir amacı yerine getirmek için uyarlanmış aşamalar dizisi.
İlk bulaşma vektörü, normal bir yürütülebilir dosya gibi görünen Gorgees_Ghada_Tax 2021.Cpl adlı kötü amaçlı bir ek içerir.
Yürütme üzerine CPL dosyası, bir PowerShell betiğinin indirilmesini ve yürütülmesini düzenleyen PowerShell komutlarını tetikler.
İndirilen PowerShell komut dosyası, ikili dizilere sarılır ve yeni bir süreç başlatılana kadar gerçek amacını gizler.
Bu süreç, gizli bir .NET tabanlı yükleyici dahil olmak üzere ek PowerShell betiklerine ve yürütülebilir dosyalarına dönüşerek altta yatan kötü amaçlı kodu ortaya çıkarır.
Ajan Tesla’nın sebat arayışı, hem planlanmış görevleri hem de başlangıç klasörlerini değiştirmeyi içerir.
Bu teknikler, kötü amaçlı yazılımın güvenliği ihlal edilmiş sistemler üzerinde sürekli bir kontrol sağlamasını sağlar. Zamanlanmış görevler, kötü amaçlı betiklerin yürütülmesini sürdürmek için oluşturulurken başlangıç klasörü, sistemin başlatılması sırasında kötü amaçlı yükler için bir başlatma paneli görevi görür.
Ajan Tesla kötü amaçlı yazılımı, tespit mekanizmalarından kaçınmak için tasarlanmış oldukça kaçamak bir teknik sergiliyor. AMSISSISISI adlı bir ikili dizi değişkeni, kaçamak eylemler için perde görevi görür.
Bu değişkenin içinde, Windows Defender hizmetlerini yöneten ve Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimini (AMSI) atlayan katıştırılmış ikili dizeler bulunur. Kötü amaçlı yazılım, tespit edilmeden kalmak ve faaliyetlerine devam etmek için bu teknikleri kullanır.
Ajan Tesla kötü amaçlı yazılımının kaynağı
Ajan Tesla’nın ortaya çıkışı kökensiz değil. Araştırmacılar, Quantum Builder yazılımını kullanarak yaratılışının izini sürdüler.
Bu araç, siber suçlulara, Ajan Tesla’nın saldırılarında önemli bir bileşen olan kötü amaçlı LNK dosyaları oluşturma yetkisi verir. Bu LNK dosyaları, kimlik bilgileri toplama, yük yürütme ve ilk sistem erişimi için bir araç görevi görür.
Buna göre BöğürtlenAjan Tesla kötü amaçlı yazılımı 2014’te ortaya çıktı ve 2020’lerde COVID-19 KKD temalı kimlik avı düzenlerini istismar ettiği için önem kazandı.
Bu kötü amaçlı yazılım, .zip, .gz, .cab, .msi, .img gibi zararlı dosya ekleri içeren e-postaları ve Visual Basic Uygulaması (VBA) makroları içeren kötü amaçlı Microsoft Office belgelerini kullanır. Logoları, yazı tiplerini ve üslubu kullanarak gerçek kurumsal iletişimi taklit eder.
İkinci aşama yetenekleri diğer kötü amaçlı yazılımlar kadar gelişmiş olmasa da, Ajan Tesla hassas verileri verimli bir şekilde toplar ve saldırganların çalınan bilgileri izlemesi ve alması için erişilebilir bir arabirim sunar.
Check Point’in 2022 Siber Güvenlik Raporu Ajan Tesla’yı 2021’de en yaygın 6. kötü amaçlı yazılım olarak sıraladı ve iş ağlarının %4,1’ini etkiledi. 2020 ile 2021 arasında %50’lik bir düşüşle küresel bilgi hırsızı kötü amaçlı yazılım yaygınlığında Formbook’tan sonra ikinci oldu.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.