Analiz, APPSuite-PDF ve PDF Editör kampanyalarının arkasındaki geliştiricilerin, son yedi yılda en az 26 farklı kod imzalama sertifikasını istismar ettiklerini ortaya koyuyor.
Daha önce potansiyel olarak istenmeyen programlar (yavrular) olarak sınıflandırılmıştır, son araştırmalar ve doğrudan sahtekarlık ile bağlantılar yeniden sınıflandırmayı ve artan incelemeyi gerektirir.
Tehdit aktörleri, meşru işletmeleri taklit ederek güvenlik kontrollerini atlamak için kod imzalama sertifikalarından yararlanır.
Yeni varlıkları – genellikle asgari çevrimiçi varlığa sahip olan kabuk şirketleri – kaydettirerek DigiCert, GlobalSign, SSL.com, Emit ve Sectigo gibi yaygın güvenilir yetkililerin sertifikalarını güvenli hale getirirler.
Bu sertifikalar, yükleyicinin kriptografik bir karmasını yerleştirerek, yazılımın kullanılmadığına ve güvenilir bir sağlayıcıdan geldiğine dair yanlış bir güven aşılamaktadır.
Araştırmamız, certCentral.org ile işbirliği içinde, Panama, Malezya, Amerika Birleşik Devletleri, İngiliz Virgin Adaları ve başka yerlerdeki 24 şirkete verilen 26 benzersiz sertifika tespit etti.
Alışılmadık bir şekilde, aktörler 11 kez farklı ihraççılardan aynı organizasyonel kimlik için birden fazla sertifika elde ettiler – yeniden satılan sertifikalar satın almak yerine sertifika tedarikini kendileri düzenledikleri kesin kanıtı.
Kampanyaları sertifikalar aracılığıyla ilişkilendirme
Appsuite-PDF ve PDF Editör Yükleyicileri Masquerade’i yararlı üretkenlik araçları olarak ancak kalıcı bir arka kapı dağıtın.
AppSuite-PDF, ana işlevselliği, kullanıcıların PDF’leri düzenlemesine izin veren PDF Düzenleyici Uygulamasını indirmek ve yüklemek olan basit bir uygulamadır.
GLINT Software Sdn gibi imzalayan isimler. Bhd., Echo Infini Sdn. Bhd. Ve Summit Nexus Holdings LLC, 2015 ortasına kadar uzanan Virustotal başvurularda tekrar tekrar ortaya çıkıyor.
“Apollo Technologies Inc.”, “Caerus Media LLC” ve “Onestart Technologies LLC” kapsamında bir sertifika kümesi, gizli PDF editör yükleri ile paketlenmiş OnestAnt yükleyicilerini imzalamak için kullanıldı.
Bu kampanyalardan önce, aynı aktörler “Dijital Promosyonlar Sdn. BHD”, “Eclipse Media Inc.”, “Astral Media Inc.” ve “Blaze Media Inc.” gibi kimlikler altında faaliyet gösterdi. “ZoomSetup”, “Freemanuals” ve “Başlat Tarayıcı” gibi isimlerle gizlenmiş Web Refakatçisi yükleyicilerini ve yavrularını dağıtmak.
Tutarlı sürüm adlandırma konvansiyonu (örneğin, “-vx.x.xxxx.x”) tüm bu eserleri Baoloader şemsiyesine bağlar.
Yüzeysel benzerliklere rağmen – istismar, krom uzatma yükleyicileri, planlanan görevler ve Node.exe kullanımı – Booloader, Panama, Malezya ve ABD’deki ihraççıları tercih eden benzersiz bir sertifika coğrafyası sergiliyor. Buna karşılık, kromeloader sertifikaları öncelikle İsrail, Almanya, İngiltere ve Slovenya’dan kaynaklanmaktadır ve sertifika seri numaralarında veya kuruluşlarda örtüşmeksizdir.
Ayrı bir Truva Kampanyası olan Harperedchef, Ukrayna ve Büyük Britanya’daki şirketler için sertifikalar kullandı ve gizli komut kanalları için gizli HTML karakterleri dahil etti – Baoloader akışlarında bulunmayan tacikler.
Kesin adlandırma ihtiyacının altını çizerek olay tepkisini ve kolluk kuvvetlerini zayıflatan yanlış uygulama riskleri: Baoloader farklı kalır ve kromel yükleyici veya kurutucu ile sınırlandırılmamalıdır.
Savunucular için çıkarımlar
Kod imzalama sertifikası kötüye kullanımı güçlü bir kaçış tekniğini temsil eder. Kötü amaçlı yazılım kurma konusunda sadece bir güven sinyali riski olarak sertifika varlığına dayanan kuruluşlar.
Defender oyun kitapları, aynı imzalayıcı için yeni veya birden fazla sertifika göründüğünde sertifika provenans kontrolleri, anomali algılama ve CAS ile hızlı iptal yanıt koordinasyonunu içermelidir.
Applocker gibi uygulama beyaz listeleme çözümleri imzasız veya güvenilmez imzalı dosyaları engelleyebilirken, tehdit avı topluluk bakımından kaynaklanan sertifika blok satırlarından yararlanabilir.
CertCentral.org’un 1.500’den fazla istismar sertifikası veritabanı, algılama ve iyileştirme için kritik bir kaynak görevi görür.
Baoloader’ın çok yıllı kampanyası, PUP tarzı kötü amaçlı yazılımların gelişen karmaşıklığını ve sertifika ekosistemlerinin sürekli izlenmesinin gerekliliğini vurgulamaktadır.
Tehdit aktörleri kimliğe bürünme stratejilerini geliştirdikçe, savunucular sertifika meta verilerini ve imzalama kalıplarını yüksek doğruluk göstergeleri olarak ele almalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.