APT-C-60, Ağustos 2024’te iş başvurusu kılığında kötü amaçlı e-postalar göndererek yerel kuruluşları hedef alan bir kimlik avı saldırısı başlattı.
İşe alım departmanlarına gönderilen bu e-postalar, sistemleri tehlikeye atmak ve potansiyel olarak hassas verileri çalmak için tasarlanmış kötü amaçlı yazılımlar içeriyordu.
Saldırı, Google Drive’da barındırılan kötü amaçlı bir VHDX dosyasını dağıtmak için hedefli bir kimlik avı e-postasından yararlanıyor.
VHDX dosyası bir kez bağlandıktan sonra, etkileşim üzerine kötü amaçlı kod çalıştırarak kurbanın sistemini tehlikeye atan bir LNK dosyası yayınlar.
LNK dosyası, SecureBootUEFI.dat adlı bir indiriciyi başlatmak için meşru git.exe dosyasını çalıştıran kötü amaçlı bir komut dosyasını tetikler. Bu indirici, bir COM arayüzünü ele geçirerek sistemde kalır ve otomatik olarak yürütülmek üzere kendisini kaydeder.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
SecureBootUEFI.dat kötü amaçlı yazılımı, virüslü cihazları benzersiz cihaz bilgilerine göre tanımlamak için başlangıçta StatCounter ile bağlantı kurar.
Daha sonra, cihaza özel verilerden türetilen benzersiz bir URL yolundan yararlanarak Bitbucket’ten kötü amaçlı bir veri indirir ve bunu yerel olarak çalıştırır.
Service.dat kötü amaçlı yazılımı, farklı bir Bitbucket deposundan iki dosyayı indirip kodunu çözüyor; bu dosyalar daha sonra Base64 ve XOR şifrelemesi kullanılarak ve ardından COM arayüzünün ele geçirilmesi yoluyla kullanıcının yazı tipi dizininde kalıcı hale getiriliyor.
SpyGrace v3.1.6 adlı bir arka kapı, sürüm bilgileri ve komut türü ve şifreleme anahtarları gibi öğelerin daha önce bildirilen v3.0 ile eşleştirilmesi yoluyla varlığını doğrulamaktadır.
Arka kapının başlatılması, yapılandırma verilerinin yüklenmesi, yinelenen örnekleri önlemek için bir muteks (905QD4656:H) oluşturulması ve api.ipfy.org ile ağ bağlantısının doğrulanmasıyla başlar.
Son olarak, kullanıcının gezici profil dizini (%appdata%\Microsoft\Vault\UserProfileRoaming) içindeki belirli dosya türlerini (.exe, .dat, .db ve .ext) bulur ve çalıştırır.
CRT’nin initterm işlevi, DllMain işlevinden önceki yürütülmesi yoluyla başlatma aşamasını önceden işledi ve böylece DLL’nin başlangıç durumu üzerinde bir etkiye sahip oldu.
JPCERT’e göre, Bitbucket ve StatCounter gibi hizmetlerden yararlanan son kötü amaçlı yazılım kampanyaları, Doğu Asya ülkelerini hedef alan kampanyalara benzer şekilde, karmaşık teknikler ve potansiyel casusluk nedenleri içeren daha geniş bir tehdit ortamına işaret eden kalıcılık için COM korsanlığını kullanıyor.
Doğu Asya’yı hedef alan saldırı, Bitbucket ve StatCounter gibi meşru hizmetlerden yararlanarak, kullanılan örnekler ve komuta-kontrol altyapısı da dahil olmak üzere, saldırının taktikleri ve teknikleri olarak kötü amaçlı yükler dağıtıyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın