Sürekli para arayışı ve tehdit aktörlerinin giderek daha karmaşık hale gelmesi, kötü amaçlı yazılımların endişe verici oranda değişmesine neden oluyor.
Her gün yeni kötü amaçlı yazılım türleri oluşturulmakta ve olağandışı bir hızda dolaşıma sokulmakta, keşfedilmeyi önlemek ve güvenlik sistemlerini aşmak için modern hileler kullanılarak, aynı zamanda en yeni sistem açıklarından yararlanılmaktadır.
Trustwave'deki siber güvenlik araştırmacıları yakın zamanda Ajan Tesla operatörlerinin cephaneliğine yeni araçlar ve taktikler eklediğini tespit etti.
Tehdit aktörleri, suç eylemlerini kolaylaştıran kötü amaçlı faaliyetler sunmak ve gerçekleştirmek için kötü amaçlı yazılım yükleyicilerine ihtiyaç duyar.
Bu yükleyiciler, güvenlik önlemlerinden kaçmak ve farklı dağıtım ağlarından yararlanmak için karmaşık kaçırma teknikleri kullanıyor.
8 Mart 2024'te SpiderLabs tarafından, Ajan Tesla'nın konuşlandırılmasıyla sonuçlanan bir enfeksiyon zincirini başlatan bir kimlik avı e-postası tespit edildi.
Enfeksiyon, banka ödeme bildirimi gibi görünen bir kimlik avı e-postasının gizlenmiş, polimorfik bir yükleyici göndermesiyle başladı.
Tespit edilmekten kaçınmak için bu yükleyici, Ajan Tesla bilgi hırsızını bellekte çalıştırmadan önce yükünü farklı URL'ler ve kullanıcı aracıları kullanarak proxy'ler aracılığıyla getirdi.
Tüm veriler Ajan Tesla tarafından çalındı ve daha sonra gizli iletişim amacıyla hacklenmiş e-posta hesapları aracılığıyla gönderildi.
Saldırıda, banka ödeme makbuzu gibi görünen kötü amaçlı .tar.gz ekini içeren bir kimlik avı e-postası kullanılıyor.
Değişkenler arasında farklı şifre çözme rutinleri kullanarak yapılandırma verilerini gizleyen ve şifreleyen polimorfik bir .NET yükleyici içerir.
Yükleyici, şifrelenmiş verileri anahtarlarla indeks tabanlı eşleştirerek dizelerin şifresini çözer.
Paketleme, gizleme, bellek izin değişiklikleri ve AMSI atlama gibi tekniklerle tespitten kaçınır.
Raporda, anahtar terimlerin, şifrelenmiş yapılandırmada belirtilen bir URL'den daha fazla veriyi yansıtıcı bir şekilde yüklediğini ortaya koyduğu belirtiliyor.
Yükleyicinin gizli veri yürütmesini kolaylaştırmak için, yükleyici AMSI'yi atlar, bellek alanı hazırlar ve tanımlanmış bir kullanıcı aracısı dizesini kullanarak yükü belirli bir URL'den alır.
Bir varyant, gizlenmiş yük dağıtımı için açık kaynaklı bir proxy listesi kullanır.
Yükleyici, sınırlayıcıları kullanarak kodlanmış veriyi HTML'den çıkarır, gömülü bir anahtarla XOR aracılığıyla şifresini çözer ve giriş noktasını çağırarak Ajan Tesla bilgi hırsızını yansıtıcı bir şekilde belleğe yükler; üstelik bu arada, kaçınma amacıyla disk yapıtlarından kaçınır.
Ajan Tesla, tuş vuruşlarını günlüğe kaydetme, kimlik bilgileri hırsızlığı ve SMTP aracılığıyla veri hırsızlığı gerçekleştiren ve genellikle gizli iletişim için güvenliği ihlal edilmiş e-posta hesaplarından yararlanan, bellekte yerleşik bir bilgi hırsızıdır.
Bu yeni Ajan Tesla çeşidi, yanıltıcı ek kimlik avı, gizleme, polimorfik şifre çözme, AMSI atlama ve yalnızca bellekte yükten kaçma amaçlı yürütme için yansıtıcı yükleme kullanan bir .NET yükleyici kullanır.
Çok yönlü yükleyicinin gelişimi, gelecekte Ajan Tesla'nın ötesinde başka kötü amaçlı yazılım yüklerinin de dağıtılma potansiyelini ortaya koyuyor.
IoC'ler
Yükleyici (Varyant 1)
MD5 b69f65b999db695b27910689b7ed5cf0
SHA256 ab9cd59d789e6c7841b9d28689743e700d492b5fae1606f184889cc7e6acadcc
Yükleyici (Varyant 2)
MD538d6ebb40197248bc9149adeec8bd0e7
SHA256a02388b5c352f13334f30244e9eedac3384bc2bf475d8bc667b0ce497769cc6a
Paketlenmiş Ajan Tesla
MD52bd452c46a861e59ac151a749047863f, 63f802e47b78ec3d52fe6b403bad823f
SHA256 e3cb3a5608f9a8baf9c1da86324474739d6c33f8369cc3bb2fd8c79e919089c4, f74e1a37a218dc6fcfabeb1435537f709d742505505a11e4757fc7417e5eb 962
Paketlenmemiş Ajan Tesla
MD5 3637aa1332b312fe77cc40b3f7adb8dc, 37b38ae2d99dd5beb08377d6cbd1bccd
SHA256 3a1fe17d53a198f64051a449c388f54002e57995b529635758248dc4da7f5080, a3645f81079b19ff60386cb244696ea56f5418ae556fba4fd0afe77cfc b2 9211
SMTP Süzülmesi
Sender email: merve@temikan[.]iletişim[.]TR
Alıcı e-postası: frevillon[.]acsitec@proton[.]Ben
URL'leri indirin
hxxps[://]artemis-sıçan[.]com/get/65f0e7dd5b705f429be16c65
hxxps[://]artemis-sıçan[.]com/get/65eb0afe3a680a9851f23712
Kullanıcı Aracısı
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, katil Gecko) Chrome/58.0.3029.110 Safari/537.3
Proxy Sunucularının Listesi
hxxps[://]github[.]com/TheSpeedX/PROXY-List/blob/master/hxxp[.]txt
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & ikiitter