Japonya Bilgisayar Acil Durum Müdahale Ekibi Koordinasyon Merkezi (JPCERT/CC), Japonya’daki kuruluşlara yönelik, siber casusluk grubu APT-C-60 tarafından yürütüldüğüne inanılan gelişmiş bir siber saldırıyı doğruladı.
Saldırganlar, kurbanın sistemine sızmak ve gelişmiş kötü amaçlı yazılımları dağıtmak için iş başvurusunda bulunan kişi kılığına girerek kimlik avı tekniklerini kullandı.
Saldırının Ayrıntıları: Kimlik Avı Yoluyla İlk Sızma
Saldırı, hedeflenen kuruluşun işe alım iletişim noktasına gönderilen hedefli bir kimlik avı e-postasıyla başladı.
E-posta, erişildiğinde kötü amaçlı bir VHDX dosyasının (sanal sabit disk biçimi) indirilmesine yol açan bir Google Drive bağlantısı içeriyordu.
VHDX dosyasını yükledikten sonra, sahte belgeler ve bir LNK dosyası “Kendini Tanıtma.lnk” başlıklı.
Bu kısayol dosyası meşru yürütülebilir dosyadan yararlandı git.exe bir komut dosyasını (IPML.txt) yürütmek için.
IPML.txt betiği aşağıdaki gibi birden çok eylem gerçekleştirdi:
- Şüphe uyandırmamak için sahte bir belge açmak.
- Adlı bir indirici dosyası oluşturuluyor SecureBootUEFI.dat.
- COM ele geçirme yoluyla kalıcılık oluşturma (COM arabirimi kimliğini F82B4EF1-93A9-4DDE-8015-F7950A1A6E31 değiştirerek).
Bu indirici daha sonra meşru bulut hizmetleri Bitbucket ve StatCounter ile iletişim kurarak saldırganların güvenilir platformları kötüye kullanma stratejisini vurguladı.
İndirici Analizi
İndirici (SecureBootUEFI.dat) aşağıdaki davranışı sergiledi:
- Cihaz Tanımlaması: Kötü amaçlı yazılım ilk olarak bilgisayar adı, kullanıcı adı ve ana dizin dahil olmak üzere benzersiz cihaz bilgilerini iletmek için StatCounter’a bağlandı. Saldırganlar bu bilgiyi bir XOR şifresi kullanarak kodladılar ve StatCounter yönlendiren URL’sine eklediler.
- İkincil Yük Getiriliyor: SecureBootUEFI.dat daha sonra kötü amaçlı bir dosyayı indirmek için Bitbucket ile iletişime geçti, Servis.datyükün yerini belirlemek için kodlanmış cihaz tanımlayıcısını kullanır. Bu dosya Windows Kabuğu dizinine kaydedildi ve yürütüldü.
Service.dat indiricisi iki ek veri alarak enfeksiyon zincirini sürdürdü (cbmp.txt ve icon.txt) başka bir Bitbucket deposundan.
Bu dosyaların kodu çözüldü ve şu şekilde kaydedildi: cn.dat Ve sp.datdaha sonra başka COM ele geçirme teknikleri kullanılarak konuşlandırıldı.
SpyGrace (sürüm 3.1.6) olarak bilinen bir arka kapı kötü amaçlı yazılımı olan son yük, saldırganların ele geçirilen sisteme sürekli erişimini sağlamak için kullanıldı.
Kötü amaçlı yazılım, ağ bağlantısını kontrol etmek, belirli sistem dizinleri içindeki kötü amaçlı dosyaları yürütmek ve algılama araçlarından etkili bir şekilde kaçınmak için initterm işlevini kullanmak gibi gelişmiş programlama tekniklerini kullanmak dahil olmak üzere çeşitli karmaşık taktikler sergiliyor.
Önceki Kampanyalara Bağlantılar
Bu saldırı, Ağustos-Eylül 2024 arasında gözlemlenen ve Japonya, Güney Kore ve Çin’deki kuruluşları hedef alan kampanyalarla benzerlikler taşıyor.
Güvenlik sağlayıcılarından gelen raporlar, Bitbucket ve StatCounter gibi meşru hizmetlerin kötüye kullanılmasının yanı sıra COM’un ele geçirilmesinin devam ettiğini tespit etti.
VHDX dosyasının geri dönüşüm kutusunda bulunan yanıltıcı belgeler, saldırganların kimlik avı e-postalarını bu bölgelere göre uyarladığını gösteriyor.
SOC ve DFIR ekipleri, ayrıntılı teknik raporun alt kısmında uzlaşma göstergelerini toplayabilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin