Rusya’nın APT28’i, 2025’in ortalarında, Office belgelerini iki yeni yükü dağıtmak için silah haline getiren karmaşık bir hedef odaklı kimlik avı kampanyasıyla yeniden ortaya çıktı: IceDrive’ı komuta ve kontrol kanalı olarak kullanan C tabanlı bir arka kapı olan BeardShell ve Koofr bulut API’si aracılığıyla iletişim kuran Covenant’ın HTTP Grunt Stager’ı.
Bu kötü amaçlı belgeler, Microsoft Office güvenlik mekanizmalarını atlatmak için uygulamanın Web İşareti koruması eksikliğinden yararlanarak özel Signal sohbetleri aracılığıyla dağıtılıyor.
Hedefler, gizli makrolar taşıyan gömülü belgeleri açmaya yönelik acil istemlerle tamamlanan, dahili yasal veya idari bildirimleri taklit eden mesajlar alır.
Yem belgesi açıldığında, ortam kontrolleri gerçekleştiren, yüklerin gizliliğini kaldıran ve kalıcılık sağlayan bir Visual Basic for Applications (VBA) makrosu yürütülmeden önce otomatik olarak Yazdırma Düzeni’ne geçer.
Sekoia analistleri, birincil makronun, zararsız görünen bir PNG dosyasının (windows.png) yanına bir DLL (prnfldr.dll) bırakarak ve DLL’yi CLSIDPrinters kayıt defteri anahtarı altına kaydederek bir COM ele geçirme işlemi gerçekleştirdiğini belirtti.
Daha sonra, DLL’nin kurulum rutinini tetiklemek için regsvr32.exe’yi /i parametresiyle çağırır ve sistem yeniden başlatılmadan bile yürütülmesini sağlar.
Explorer.exe tarafından yüklendikten sonra prnfldr.dll, meşru yazdırma işlevlerini temsil eder ve windows.png’deki her pikselin en az önemli bitlerinden AES şifreli kabuk kodu blobu çıkarmak için ikincil bir iş parçacığı oluşturur.
Bu teknik, PNG görüntü verilerinin içine 20 baytlık boyut ve karma meta veriyi, ardından 32 baytlık bir anahtar, 16 baytlık IV ve şifrelenmiş içerik yerleştirir.
.webp)
Şifre çözüldükten sonra kabuk kodu, Ortak Dil Çalışma Zamanını başlatır ve Covenant .NET derlemesini yükleyerek Koofr altyapısıyla HTTP tabanlı bir C2 kanalı oluşturur.
Enfeksiyon Mekanizmasının Derinlemesine İncelemesi
İkinci aşama, dijital steganografinin ustaca kullanımını ortaya koyuyor. Kabuk kodu windows.png’yi okur, yerleşik veriyi çıkarır ve Covenant Grunt Stager’ı başlatmak için aşağıdaki işlevleri çağırır:
HRESULT hr;
ICLRMetaHost *pMetaHost = NULL;
pMetaHost->GetRuntime(L"v4.0.30319", IID_ICLRRuntimeInfo, (LPVOID*)&pRuntimeInfo);
pRuntimeInfo->GetInterface(CLSID_CorRuntimeHost, IID_ICorRuntimeHost, (LPVOID*)&pCorRuntimeHost);
pCorRuntimeHost->Start();
pCorRuntimeHost->ExecuteInDefaultAppDomain(L"C:\\path\\GruntHTTPStager.dll",
L"EntryPoint", L"Execute",
NULL, &hr);Covenant’ın HTTP Grunt modülü aktif hale geldiğinde, keşif verilerini yüklemek ve yeni modülleri indirmek için “Tutma” ve “Tansfering” klasörleri oluşturarak yalnızca Koofr’un API’si aracılığıyla iletişim kurar.
İmplant, oturum anahtarlarını değiştirmek için hibrit şifreleme kullanıyor ve Covenant Görevleri aracılığıyla komut yürütmeyi yönetiyor, adli yapaylıkları en aza indirmek için çıktıları silmeden önce dosyalar olarak yüklüyor.
Bu arada BeardShell, bir C DLL olarak bağımsız olarak çalışır. System.Management.Automation derlemesini yüklemek için CLR’yi başlatır ve yedi PowerShell merkezli komut için JSON tabanlı bir arabirim sunar.
BeardShell her dört saatte bir, ana bilgisayar özniteliklerinin FNV4 karması tarafından adlandırılan bir IceDrive dizinini yoklar.
SystemInfo sonuçlarını IceDrive’a yükler ve çıktıyı depolama köküne döndürmeden önce operatör tarafından sağlanan JSON komut dosyalarının şifresini çözer ve çalıştırır. Komutlar şemayı takip eder:
{"taskid":0,"cmdid":2,"data":{"id":0,"cmd":"ipconfig /all"}}Bu çift yük stratejisi, APT28’in gizli iletişimler için açık kaynak çerçeveleri ve meşru bulut hizmetlerini giderek artan şekilde kullandığını gösteriyor.
Steganografik yüklerin PNG dosyalarına yerleştirilmesi ve birden fazla bulut kanalından yararlanılması, algılama ve müdahaleyi önemli ölçüde karmaşık hale getirerek, gelişmiş steganografi algılama ve bulut API izleme ihtiyacının altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
