Threatmon’dan araştırmacılar, algılamaları atlayan ve tehdit aktörlerinin komutları yürütmesine, dosyaları indirip yüklemesine ve güvenliği ihlal edilmiş Windows sistemlerinden hassas bilgiler toplamasına izin veren, APT41’den hedefli bir PowerShell arka kapı kötü amaçlı yazılım saldırısını ortaya çıkardı.
2012’den beri Çinli siber casusluk grubu APT41 (aka Wicked Panda) gelişmiş taktikler, teknikler ve prosedürler (TTP’ler) kullanıyor. Kötü amaçlı cephaneliklerinde özel olarak oluşturulmuş kötü amaçlı yazılımları ve PowerShell arka kapısı gibi araçları kullanırlar.
Microsoft Windows, yerleşik betik dili PowerShell’i içerir ve sistem yapılandırmalarını yönetebilir ve yönetim görevlerini otomatikleştirebilir.
Tehdit İstihbarat Firmasından Alp Cihangir ASLAN, “APT41’in PowerShell arka kapısı, bu işlevsellikten yararlanarak geleneksel güvenlik önlemlerini aşarak hedef sistemlere sızmasını sağlıyor, TehditMon A raporlandı Siber Güvenlik Haberleri.
“Grup ayrıca, özel kötü amaçlı yazılımlar, tedarik
zincirleme saldırılar ve yazılım ve donanımdaki güvenlik açıklarından yararlanma.”
PowerShell Arka Kapı
APT41’in PowerShell arka kapısı, gizlice çalışacak ve varlığını uzun süreler boyunca koruyacak şekilde tasarlanmıştır ve genellikle hedefli saldırı senaryolarında ikincil bir yük olarak öne çıkar.
Kurulumun ardından arka kapı, APT41’in güvenliği ihlal edilmiş sistemlerde aşağıdaki yasa dışı faaliyetleri gerçekleştirmesine olanak tanır: –
- Yürütme komutları
- Dosyaları indir
- Dosyaları yükle
- Gizli verileri ayıklayın
Gelişmiş APT41’in PowerShell arka kapısı, kuruluşların gelişmiş tehditlere karşı koyması için sağlam güvenlik önlemlerinin önemini vurgular.
Teknik Analiz
APT41’in 2017 Equifax veri ihlali gibi kötü şöhretli yüksek profilli siber saldırı geçmişi, onun karmaşıklığını ve yeteneklerini gösteriyor.
Kötü amaçlı yazılım, tespit edilmekten kaçınmak ve yeniden bulaşmayı önlemek için, çalıştırmadan önce ‘v653Bmua-53JCY7Vq-tgSAaiwC-SSq3D4b6’ adlı bir muteks oluşturarak akıllı bir taktik kullanır.
Ancak, muteks oluşturma başarısız olursa, 1 dönüş değeriyle sonlandırma gerçekleşir.
Kötü amaçlı yazılım, yüklerini sistematik olarak Windows Kayıt Defterine yerleştirerek yürütme sürecini başlatır. İlk yük, “forfiles.exe” adlı bir LOLBin kullanılarak uygulanır.
Tüm bu “karada yaşayan ikili dosyalar” veya Lolbin’ler, aktörleri çeşitli yasadışı faaliyetlerde bulunmak için kötüye kullanma tehdidinde bulunan gerçek sistem araçlarıdır.
Öncelikle arama yapmak için kullanılan Forfiles aracı aynı zamanda komutları çalıştırabilir ve bu da onu LOLBin’leri kullanarak AV bypass’ı için bir hedef haline getirir.
Kalıcılık için HKCU\Environment\UserInitMprLogonScript anahtarı aracılığıyla sistem oturumu açılırken otomatik olarak bir komut yürütülür.
Ardından “altındaHKEY_CLASSES_ROOT\abcdfile\shell\open\command\abcd” gizlenmiş PowerShell yükü, başka bir LOLBin kullanılarak oluşturulur: –
- SyncAppPublishingServer.vbs
Son yük, çıkarılabilir aygıtlara bulaşabilen ve Telegram’ı bir C2 sunucusu olarak kullanabilen alışılmadık bir PowerShell arka kapısıdır.
Artık arka kapı, ip-API’den yararlanarak sistem bilgilerini ve IP adresini C2 sunucusuna iletir.
ThreatMon’daki siber güvenlik analistleri, kuruluşların gelişen kötü amaçlı taktiklerin bir adım önünde olmaları için proaktif güvenlik uygulamalarının gerekli olduğunu vurguladı.
Uzlaşma Göstergeleri (IOC)
- SHA-256 HASH: bb3d35cba3434f053280fc2887a7e6be703505385e184da4960e8
- db533cf4428
- SHA-256 HASH: d71f6fbc9dea34687080a2e12bf326966f6841d51294bd665261e0
- 7281459 eeb
- URL: hXXps://raw.githubusercontent[.]com/efimovah/abcd/main/xxx.gif
- URL: hXXp://ip-api[.]com/json
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin