Andariel Hackerları Kuruluşları Sömürmek İçin Uzak Araçlardan Yararlanıyor

   Mart 20, 2024  Posted in GBHackers


Andariel tehdit grubunun Koreli şirketlere saldırırken MeshAgent kullandığı keşfedildi.

Grup daha önce AndarLoader ve ModeLoader gibi kötü amaçlı yazılım yüklemeye yönelik Kore Varlık yönetimi çözümlerine saldırmıştı.

Ancak MeshAgent, sunduğu çeşitli uzaktan kontrol özellikleri nedeniyle diğer uzaktan yönetim araçlarıyla birlikte kullanılır. Andariel grubu kötü amaçlı yazılımını yanal hareket aşamasında dağıtıyor.

Mesh kurulum günlükleri (Kaynak: AhnLab)

Cyber ​​Security News ile paylaşılan raporlara göre tehdit grubu, tıpkı Kimsuky tehdit grubu gibi AndarLoader, ModeLoader, MeshAgent, Mimikatz ve Backdoors dahil diğer kötü amaçlı yazılım saldırılarını kullanıyor.

Önceki bir raporda Andariel grubu Innorix aracısını (veri aktarım çözümü) kullanmıştı.

AndarYükleyici

Bu kötü amaçlı yazılım, daha önce kullanılan ve C2 sunucusundan komutları yürütebilen Andardoor arka kapısına benzer.

Ancak AndarLoader, .NET derlemesi gibi yürütülebilir dosyaları indiren ve bunları bellekte çalıştıran bir arka kapıdan ziyade bir indiricidir.

Gizlemeye gelince, AndarLoader geleneksel Dotfuscator aracı yerine KoiVM aracını kullanıyor.

Ancak hâlâ geçmiş AndarLoader'la aynı olan birkaç dize var. Ek olarak mevcut AndarLoader, C2 sunucusuna bağlanırken sslClient dizesini de kullanır.

MeshAgent

Mesh Kontrol paneli (Kaynak: AhnLab)

MeshAgent, uzaktan yönetim için temel gerekli bilgileri toplama kapasitesine sahiptir ve RDP ve VNC gibi uzak masaüstü özelliklerinin yanı sıra güç yönetimi, hesap yönetimi, sohbet veya mesaj açılır penceresi, dosya yükleme, indirme ve komut yürütme gibi çeşitli özellikler sunar.

Aslına bakılırsa bu, Andariel grubunun operasyonlarında MeshAgent'ı kullandığı ilk vakadır.

MeshAgent'ın “fav.ico” adlı harici bir kaynaktan indirildiği tespit edildi.

Mod Yükleyici

ModLoader kötü amaçlı yazılımı (Kaynak: AhnLab)

Bu, Mshta süreci aracılığıyla harici olarak indirilen ve oluşturulup yürütülmek yerine çalıştırılan bir javascript kötü amaçlı yazılımıdır.

Mshta süreci, ModeLoader'ı indirmek için bu tehdit aktörleri tarafından özel olarak hedeflenmektedir.

ModeLoader, C2 sunucusuna düzenli olarak bağlanmak gibi basit bir özellik sağlar ve Base64 kodlu komutları alır ve bunları yürütür.

Ek olarak, yürütülen komutlar hakkında C2 sunucusuna geri bildirim de gönderir.

Diğer Kötü Amaçlı Yazılım Saldırısı vakaları

Tehdit aktörleri, etkilenen sistemin kontrolünü ele geçirdikten sonra, ele geçirilen sistemden kimlik bilgilerini çıkarmak için Mimikatz'ı kullanıyor.

Tehdit aktörleri, düz parolaların saklanmadığı en son güvenlik yapılandırmasını atlatmak amacıyla kimlik bilgilerini çıkarmak için UseLogonCredential kayıt defteri anahtarını kullanıyor.

Ayrıca “wevtutil cl Security” komutu kullanılarak virüs bulaşan sistemlerin güvenlik olay logları silinerek bu kötü niyetli faaliyetlerin izleri silinir.

Ayrıca kötü amaçlı yazılım tarafından sağlanan bir keylogger da bulundu.

Uzlaşma Göstergeleri

Dosya Algılama

  • Arka kapı/JS.ModeLoader.SC197310 (2024.03.01.00)
  • Trojan/Win.Generic.C5384741 (2023.02.19.01)
  • Trojan/Win.KeyLogger.C5542383 (2023.11.16.01)
  • Truva Atı/Win32.RL_Mimikatz.R366782 (2021.02.18.01)

Davranış Tespiti

  • CredentialAceess/MDP.Mimikatz.M4367

MD5

  • a714b928bbc7cd480fed85e379966f95 : AndarLoader (%SystemDirectory%\SVPNClientW.exe)
  • 4f1b1124e34894398aa423200a8ab894 : KeyLogger (%USERPROFILE%\documents\kerberos.tmp, %USERPROFILE%\kl.exe, %SystemDirectory%\dllhostsvc.exe)
  • 2c69c4786ce663e58a3cc093c6d5b530 : Mod Yükleyici
  • 29efd64dd3c7fe1e2b022b7ad73a1ba5 : Mimikatz (%KULLANICIPROFİLİ%\mimi.exe)

Komut ve Kontrol URL'si

  • gizlilik.hopto[.]org:443 : AndarLoader
  • Privatemake.bounceme[.]net:443 : AndarLoader
  • 84.38.129[.]21 : Örgü Aracısı
  • hxxp://www.ipservice.kro[.]kr/index.php : Mod Yükleyici
  • hxxp://www.ipservice.kro[.]kr/view.php : Mod Yükleyici
  • hxxp://www.ipservice.kro[.]kr/modeRead.php : ModeLoader
  • hxxp://panda.ourhome.or[.]kr/view.php : Mod Yükleyici
  • hxxp://panda.ourhome.or[.]kr/modeRead.php : ModeLoader
  • hxxp://panda.ourhome.or[.]kr/modeView.php : ModeLoader
  • hxxp://www.mssrv.kro[.]kr/view.php : Mod Yükleyici
  • hxxp://www.mssrv.kro[.]kr/modeView.php : ModeLoader
  • hxxp://www.mssrv.kro[.]kr/modeRead.php : ModeLoader
  • hxxp://www.mssrv.kro[.]kr/modeWrite.php : ModeLoader

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link