APT-C-60 tehdit grubunun VHDX dosyalarını kuruluşlara zarar vermek için silah haline getirmesiyle işe alım profesyonellerini hedef alan karmaşık bir casusluk kampanyası ortaya çıktı.
Tehdit aktörleri, işe alım personeline gönderilen hedef odaklı kimlik avı e-postalarında iş arayanların kimliğine bürünüyor ve kötü amaçlı veriler sunmak için güven ilişkilerinden yararlanıyor.
Daha önceki kampanyalar kurbanları Google Drive’dan VHDX dosyalarını indirmeye yönlendirirken, son saldırılar kötü amaçlı VHDX dosyasını doğrudan e-postalara eklemek üzere gelişti.
Bir kurban, silah haline getirilmiş VHDX dosyasını açıp gömülü LNK dosyasını tıkladığında, kötü amaçlı bir komut dosyası, meşru bir uygulama olan Git aracılığıyla yürütülür ve karmaşık veri hırsızlığı yapan kötü amaçlı yazılımları dağıtan çok aşamalı bir bulaşma sürecini başlatır.
JPCERT analistleri bu kampanyanın Haziran ve Ağustos 2025 arasında başta Japonya olmak üzere Doğu Asya bölgelerini hedef aldığını tespit etti.
Tehdit grubu, komuta ve kontrol altyapısını sürdürmek için GitHub ve statcounter gibi meşru hizmetlerden yararlanarak gelişmiş operasyonel güvenlik sergiliyor.
Saldırılar, ilk yükler için “sgznqhtgnghvmzxponum” anahtarıyla XOR kodlaması ve ikincil aşama indirmeleri için AES-128-CBC şifrelemesi de dahil olmak üzere çok katmanlı gizleme teknikleri yoluyla teknik karmaşıklığı sergiliyor.
Kötü amaçlı yazılım, tehlikeye atılan makineleri toplu seri numaralarını ve bilgisayar adlarını kullanarak tespit ederek kurbanların hassas bir şekilde takip edilmesini sağlar.
Enfeksiyon zinciri, LNK dosyası, VHDX dosyasında depolanan glog.txt komut dosyasını çalıştıran meşru bir Git bileşeni olan gcmd.exe’yi çalıştırdığında başlar.
Bu komut dosyası, sahte bir özgeçmişi sahte olarak görüntülerken, aynı anda WebClassUser.dat’ı (Downloader1) oluşturur ve bunu adresindeki sistem kayıt defterine kaydeder. HKCU\Software\Classes\CLSID\{566296fe-e0e8-475f-ba9c-a31ad31620b1}\InProcServer32.
Kalıcılık, COM’un ele geçirilmesi yoluyla sağlanarak kötü amaçlı yazılımın sistem işlemleri sırasında otomatik olarak yürütülmesini sağlar.
Downloader1, formatta özel hazırlanmış yönlendirme başlıklarını kullanarak statcounter ile iletişim kurar. ONLINE=>[Number1],[Number2] >> [%userprofile%] / [VolumeSerialNumber + ComputerName].
Tehdit aktörleri bu yönlendiren değerlerini izler ve ilgili dosyaları GitHub depolarına yükler. Downloader1, aşağıdaki URL’lerden dosyaları alır: https://raw.githubusercontent.com/carolab989/class2025/refs/heads/main/[VolumeSerialNumber+ComputerName].txtDownloader2’yi indirme talimatlarını içeren.
Enfeksiyon Mekanizması ve Yük Dağıtımı
Bulaşma mekanizması, birden fazla kodlanmış katmana sahip basamaklı bir dağıtım stratejisi kullanır.
Downloader2, ADD ve XOR işlemlerini birleştiren bir kodlama şemasıyla dinamik API çözünürlüğünü kullanarak SpyGlace kötü amaçlı yazılımını indirir ve dağıtır.
.webp)
Mevcut sürüm, ADD 0x04’ten sonra XOR 0x05’i uygular ve bu, önceki değişkenlerden bir evrimi temsil eder. Downloader2 tarafından alınan dosyaların kodu, COM ele geçirme yoluyla yürütülmeden önce “AadDDRTaSPtyAG57er#$ad!lDKTOPLTEL78pE” anahtarı kullanılarak XOR çözümüne tabi tutulur.
SpyGlace 3.1.12’den 3.1.14’e kadar olan sürümlerin, 17 farklı komut aracılığıyla kapsamlı veri filtreleme yeteneklerini uyguladığı gözlemlenmiştir.
Kötü amaçlı yazılım, BASE64 kodlamasıyla birlikte değiştirilmiş RC4 şifrelemesini kullanarak 185.181.230.71 IP adresindeki komut ve kontrol sunucularıyla iletişim kurar.
Değiştirilen RC4 uygulaması, Anahtar Planlama Algoritması döngülerini artırır ve ek XOR işlemleri gerçekleştirir.
SpyGlace, dize gizleme ve API çözümlemesi için tek baytlık XOR’u SUB talimatlarıyla birleştiren karakteristik bir kodlama şeması kullanır.
İndirme komutu, şifrelenmiş dosyaları alır ve sabit kodlu anahtarla AES-128-CBC kullanarak bunların şifresini çözer. B0747C82C23359D1342B47A669796989 ve IV 21A44712685A8BA42985783B67883999şurada dosya oluşturma %temp%\wcts66889.tmp.
Kötü amaçlı yazılım, otomatik yürütme yolunu değiştirerek kalıcılık sağlar. %public%\AccountPictures\Default\ 3.1.13 sürümünde %appdata%\Microsoft\SystemCertificates\My\CPLs 3.1.14 sürümünde.
SpyGlace, Clouds.db modülünü çağıran screenupload komutu aracılığıyla uzaktan kabuk erişimi, dosya manipülasyonu, süreç kontrolü, disk numaralandırma ve otomatik ekran görüntüsü yakalama dahil olmak üzere kapsamlı gözetim yeteneklerini uygular. %LocalAppData%\Microsoft\Windows\Clouds\Clouds.db mssc1 dışa aktarma işleviyle.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
