Son zamanlarda, Zscaler ThreatLabz, Ajan Tesla RAT’ın Quantum Builder adlı bir kötü amaçlı yazılım oluşturucu tarafından teslim edildiği yeni bir kötü amaçlı kampanya keşfetti. Tesla, .NET tabanlı aktif bir keylogging ve RAT programıdır ve 2014 yılından beri faaliyet göstermektedir.
Bu kampanyanın önceki sürümleriyle karşılaştırıldığında, bu kampanya çok daha karmaşık ve LNK (Windows kısayol) dosyalarına geçiş içeriyor.
Kuantum Oluşturucu
Quantum Builder kullanılarak oluşturulan kötü amaçlı bir kısayol dosyası var ve bu oluşturucu “Quantum Link Builder” olarak da biliniyor.
Paylaşılan TTP’ler ve kaynak kodu çakışmaları nedeniyle bu kampanya Lazarus Group APT ile ilişkilendirilmiştir. Ancak güvenlik analistleri, bunu herhangi bir belirli tehdit aktörüne güvenle atfetmeyi başaramadı.
Bu kampanyada, tehdit aktörleri, aşağıdaki gibi kötü niyetli yükler oluşturmak için Quantum Builder’ı kullanır:-
Tüm bu yükler toplandıktan sonra, tehdit aktörleri bunları Agent Tesla kötü amaçlı yazılımını iletmek için kullanabilir. Oluşturucu tarafından kullanılan bir dizi karmaşık teknik vardır: –
- Microsoft Bağlantı Yöneticisi Profil Yükleyici (CMSTP) ikili dosyasının yardımıyla Kullanıcı Hesabı Denetimini atlamak mümkündür.
- Windows Defender Hariç Tutmalarının yapılandırıldığından emin olun.
- LOLBins kullanılarak birkaç farklı saldırı vektörü entegre edilerek çok aşamalı bir enfeksiyon zinciri oluşturulmuş ve kullanılmaktadır.
- Algılamadan kaçınmak için PowerShell betikleri bellekte yürütülür.
- Enfeksiyonu aldıktan sonra kurbanların dikkatini dağıtmak için, oyalama taktikleri olarak tuzaklar kullanılır.
Quantum Builder, dark web’de aylık 189 € abonelik ücreti karşılığında mevcuttur ve aşağıda tam fiyat listesini görebilirsiniz:-
Özelleştirilebilir bir araç olduğundan Quantum Builder ile kötü amaçlı kısayol dosyaları oluşturulabilir ve yalnızca bu değil, aynı zamanda kötü amaçlı yükler de oluşturur:-
Bunlar gibi yükler, saldırıda hedeflenen makinelere bir sonraki aşama kötü amaçlı yazılımı (Ajan Tesla) teslim etmek için kullanılır.
Enfeksiyon Zinciri
Bulaşma zinciri, postanın ekinde bir GZIP arşiv dosyası içeren kimlik avı e-postalarının başlatılmasıyla başlatılan birden çok aşamadan oluşan çok aşamalı bir saldırı zinciridir.
Bu eke bir kısayol eklenmiştir ve bu kısayol, uzak bir HTA’yı başlatmak için MSHTA’yı kullanan PowerShell kodunu yürütmek için kullanılır.
Rapora göre, Çinli bir Lump and Rock Sugar tedarikçisinin (Guangdong Nanz Technology co. ltd) bir sipariş onay mesajı düzenlemesi ile kimlik avı e-postaları gönderdiği iddia ediliyor. Burada mesaj, kendisini yasal bir PDF belgesi gibi gösteren kötü amaçlı bir LNK dosyası içeriyor.
Bir PowerShell yükleyici betiğinin şifresi çözülür ve HTA dosyası tarafından yürütülür. Şimdi, Agent Tesla kötü amaçlı yazılımını yönetici ayrıcalıklarıyla yürütmek için bu komut dosyası hem indirici hem de yürütücü görevi görür.
Alternatif olarak, enfeksiyon dizisinin ikinci bir varyantında GZIP arşivi için bir ZIP dosyası değiştirilir.
Son aylarda Quantum Builder kullanımının hızla arttığı gözlemlendi. Çeşitli kötü amaçlı yazılımlar, tehdit aktörleri tarafından kullanılarak dağıtıldığından.
Çeşitli kuruluşlara karşı son zamanlarda yapılan bir kampanyada, Quantum Builder onlara karşı siber saldırılar başlatmak için kötü amaçlı yazılım yükleri oluşturmak için kullanılıyor ve bunların en sonuncusu bu Ajan Tesla kampanyası.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin