Tehdit aktörü olarak bilinen Gizemli Fil Asynshell adı verilen kötü amaçlı yazılımın gelişmiş bir sürümü kullanılarak gözlemlendi.
Knownsec 404 ekibi bugün yayınlanan bir analizde, saldırı kampanyasında kurbanları Microsoft Derlenmiş HTML Yardımı (CHM) dosyası adı altında kötü niyetli bir yük çalıştırmaları için kandırmak amacıyla Hac temalı yemlerin kullanıldığı söyleniyor.
APT-K-47 olarak da bilinen Gizemli Fil, en az 2022’den beri aktif olan ve öncelikli olarak Pakistan varlıklarını hedef alan Güney Asya kökenli bir tehdit aktörüdür.
Grubun taktikleri ve araçlarının, SideWinder, Confucius ve Bitter gibi bölgelerde faaliyet gösteren diğer tehdit aktörleriyle benzerlikler taşıdığı ortaya çıktı.
Ekim 2023’te grup, Pakistan’a ve diğer ülkelere yönelik saldırıların bir parçası olarak ORPCBackdoor adlı bir arka kapı sağlayan bir hedef odaklı kimlik avı kampanyasıyla ilişkilendirildi.
Mysterious Elephant’ın en son kampanyada kullandığı ilk erişim vektörü tam olarak bilinmiyor, ancak muhtemelen kimlik avı e-postalarının kullanımını içeriyor. Yöntem, iki dosya içeren bir ZIP arşiv dosyasının teslim edilmesine yol açıyor: 2024’teki Hac politikasıyla ilgili olduğunu iddia eden bir CHM dosyası ve gizli bir yürütülebilir dosya.
CHM başlatıldığında, ikili dosya arka planda gizlice yürütülürken, Pakistan Hükümeti Diyanet İşleri Bakanlığı ve Dinlerarası Uyum web sitesinde barındırılan meşru bir PDF dosyası olan sahte bir belgeyi görüntülemek için kullanılır.
Nispeten basit bir kötü amaçlı yazılım olan bu kötü amaçlı yazılım, uzak bir sunucuyla bir cmd kabuğu oluşturmak için tasarlandı ve Knownsec 404, tehdit aktörünün 2023’ün ikinci yarısından bu yana defalarca kullandığı başka bir araç olan Asyncshell ile işlevsel örtüşmeleri tespit ediyor.
Bugüne kadar Asyncshell’in cmd ve PowerShell komutlarını yürütme yeteneklerine sahip dört farklı sürümü keşfedildi. Kötü amaçlı yazılımı dağıtan ilk saldırı zincirlerinin, enfeksiyonu tetiklemek için WinRAR güvenlik kusurundan (CVE-2023-38831, CVSS puanı: 7,8) yararlandığı tespit edildi.
Dahası, kötü amaçlı yazılımın daha sonraki yinelemeleri, komut ve kontrol (C2) iletişimleri için TCP kullanmaktan HTTPS’ye geçiş yaptı; yanıltıcı belgeyi göstermek ve onu başlatmak için bir Visual Basic Komut Dosyası kullanan güncellenmiş bir saldırı dizisinden faydalanmaktan bahsetmiyorum bile. zamanlanmış bir görev anlamına gelir.
Knownsec 404 ekibi, “APT-K-47’nin 2023’ten bu yana saldırı faaliyetlerini başlatmak için sıklıkla Asyncshell’i kullandığı ve saldırı zincirini ve yük kodunu kademeli olarak yükselttiği görülebilir” dedi.
“Son saldırı faaliyetlerinde bu grup, önceki sürümlerin sabit C2’sinden C2 değişkenine geçiş yaparak son kabuk sunucu adresini kontrol etmek için gizlenmiş hizmet isteklerini akıllıca kullandı; bu da APT-k-47 organizasyonunun Asyncshell’deki dahili yerleşimlerinin önemini gösteriyor. “