APT34, Kötü Amaçlı Yazılım Dağıtımı İçin Silahlı Word Belgeleri Kullanıyor


APT34, Orta Doğu hedeflerinde uzmanlaşmış, hedef odaklı kimlik avı ve gelişmiş sızma yöntemleri yoluyla hassas istihbarat toplamasıyla bilinen gizli bir siber casusluk grubudur.

APT34 grubunun gelişmişliği ve kapsamlı kaynakları, büyük bir bölgesel ve küresel siber güvenlik tehdidi oluşturmaktadır.

Orta Doğu’da çeşitli hedeflere karşı yüksek profilli siber saldırılar düzenlediler: –

  • Devlet kurumları
  • Kritik altyapı
  • Telekomünikasyon
  • Önemli bölgesel kuruluşlar

Trend Micro’daki siber güvenlik araştırmacıları yakın zamanda Ağustos ayında düzenlenen bir kimlik avı saldırısında Menorah adı verilen APT34 ile ilişkili yeni bir kötü amaçlı yazılım tespit etti.

Yeni tanımlanan bu kötü amaçlı yazılım, kötü amaçlı bir belge aracılığıyla dağıtıldı ve aşağıdaki yeteneklere sahip olarak siber casusluk faaliyetleri için özel olarak hazırlandı: –

  • Makine Tanımlaması
  • Dosyaları oku
  • Dosyaları yükle
  • Dosyaları indir
  • Ek kötü amaçlı yazılım indirme

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Enfeksiyon zinciri

Bir kurban kötü amaçlı bir belgeyi açtığında, kalıcılığı sağlayan zamanlanmış bir görevin oluşturulmasını tetikleyen enfeksiyon zinciri başlar.

Enfeksiyon zinciri
Enfeksiyon zinciri (Kaynak – Trend Micro)

Belgede bulunan gizli makrolar “Menorah.exe” adlı bir .NET kötü amaçlı yazılımını aşağıdaki dizine bırakırken: –

  • <%ALLUSERSPROFILE%\Office356>

Daha sonra Menorah.exe’yi “OneDriveStandaloneUpdater” adı altında çalışacak şekilde programlar ve bazı makrolar dize manipülasyonu, kod çözme ve görev oluşturma işlemlerini gerçekleştirir.

Dize dönüşümü için makrolar
Dize dönüşümü için makrolar (Kaynak – Trend Micro)

APT34: Kötü Amaçlı Word Belgeleri

Kötü amaçlı belgedeki .NET kötü amaçlı yazılımı, parmak izi alma, dosya işleme ve uzaktan komutlar gibi becerilerle siber casuslukta öne çıkıyor.

En yeni SideTwist çeşidi, gelişmiş trafik karma işlemiyle gizliliği artırır ve hassas bir argüman kontrolüyle başlar.

Tartışma olmadan, kötü amaçlı yazılım çalışmayı durdurarak sanal alanlar gibi analitik ortamlarda tespit edilmekten kaçmasına olanak tanır.

Analistler http’de C&C sunucusunu ve bir zamanlayıcıyı buldu[:]//tecforsc-001-site1[.]gtempurl.com/ads.asp, her 32 saniyede bir iletişim için kullanılır. Kötü amaçlı yazılım, makinenin parmak izini {MachineNameUsername} olarak alarak MD5 karma değerini hesaplayacak şekilde kodluyor.

MD5 karması ve {MachineNameUsername} formatı bir dizeyle XORlanır, Base64’te kodlanır ve sistem parmak izi olarak bir HTTP isteği yoluyla C&C sunucusuna gönderilir.

Kurban sisteminin 'parmak izini' gönderme
Kurban sisteminin ‘parmak izinin’ gönderilmesi (Kaynak – Trend Micro)

Analiz sırasında etkin olmayan C&C sunucusunun muhtemelen Base64’te kodlanmış şifreli bir mesaj döndürmesi bekleniyordu.

Şifresi çözülen mesaj, her bir değerin kötü amaçlı yazılımın belirli eylemlerini belirlediği bir diziye bölünür.

APT34’ün sürekli gelişimi, uyarlanabilirliğini ortaya koymaktadır. Belirli hedeflere yönelik taktikleri özelleştirmek için kaynaklardan ve çeşitli becerilerden yararlanarak başarılı siber casusluk sağlarlar.

IOC’ler

  • SHA256: 8a8a7a506fd57bde314coe6154f2484f280049f2bda504d43704b9ad412d5d618
  • Trojan.W97M.SIDETWIST.AB (Algılamalar)
  • SHA256: 64156f9ca51951a9bf91b5b74073d31c16873ca60492c25895c1f0f074787345
  • Trojan.MSIL.SIDETWIST.AA (Algılamalar)

URL’si

  • hxxp://tecforsc-001-site1[.]gtempurl[.]com/ads.asp

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link